MODERN IT-INFRASTRUKTUR

Transkript

1 ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS MODERN IT-INFRASTRUKTUR HAR AFFÄRSANSVARIGA GJORT HEMLÄXAN? I samarbete med Öhrlings PriceWaterhouseCooper, PWC, har XLENT i seminarier informerat om de nya regelverken och hur man kan hitta lösningar för att efterleva dem. Första steget är att affärssidan gör sin hemläxa. Läs mer på sidan 9 JANUARI 2006 STYRELSEKOLL PÅ INTERNA KONTROLLEN? Den interna kontrollen måste bli mycket bättre för att leva upp till de nya regelverken. God internkontroll bidrar även till mer snabbfotade företag, säger Andreas Halvarsson, Ernst&Young. Läs mer på sidan 8 Staffan tränar på hög höjd Staffan Strand älskar höga höjder och nya utmaningar. Killen med de ekorrpigga ögonen och den stora entusiasmen har nu lagt upp flera ribbor högt för att nå ännu högre rymder. Eller vad sägs om full laddning för EM i Göteborg, forskning i USA om ip-baserade lagringsnät och jobb som Storage Consultant på Hitachi Data Systems i Sverige? Läs mer på sidan 10 Foto: Hasse Sjögren VILL PRATA SÄKERHET MED LEDNINGEN Distributören Nocom märker ett snabbt växande intresse för it-säkerhet på marknaden. Man menar dock att frågan om rätt it-säkerhet måste börja med att man tittar på verksamhetens sätt att fungera och tar fram en policy och ett regelverk. Läs mer på sidan 5 SKAPAR DIALOG MELLAN LEDNING OCH IT Per Carlsson har bråda dagar som teknisk chef på it-integratören Proact och vice ordförande i SNIA, Storage Networking Industry Association, i Skandinavien och ordförande i SNIA:s europeiska initiativ, DMI, Data Management Initative. I SNIA har vi tagit fram en metod för att skapa dialog mellan ledning och it och en vägkarta för införandet av ILM, Information Lifecycle Management i ett företag, säger Per Carlsson. Läs mer på sidan 14 KOMMUNIKATION OCH DATALAGRING MED NY TEKNIK Carpark behövde en infrastruktur för att kunna distribuera och lagra bilder. Topnordics lösning innebär ett nätverk mellan kontoren och ett driftsäkert serversystem kopplat till ett centralt datalager. Läs mer på sidan 7 SÄKERHET ÄR VÅR TIDS STÖRSTA UTMANING LÄS MER PÅ SIDAN 6 INGÅR SOM BILAGA I DAGENSINDUSTRI JANUARI 2006 ANNONS ANNONS

2 2 Modern IT-infrastruktur ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Verksamhetens trogne tjänare Välkommen till en fullmatad tidning om modern it-infrastruktur. Alla som intervjuas i denna tidning är ense om en sak: idag är verksamheter helt beroende av it och allt avstannar snabbt om it-stödet faller bort. Tänk vad som händer om bara e-posten krånglar. It har helt enkelt blivit ett oumbärligt stöd för alla affärsprocesser. Ett genomgående budskap från alla är också att börja på affärssidan och inte med tekniken. Det är affärs-, marknadsoch lagkrav som måste styra hur it-infrastrukturen sedan utformas. Utvecklingen av den moderna it-infrastrukturen blir affärsdriven istället för teknikdriven. Den nya tiden är här. Det är dags att it blir verksamhetens trogne tjänare. Utmaningar och möjligheter Det händer mycket nu. Förr fanns informationen innanför murarna i fasta interna företagsnät. Nu är ofta 90 % av medarbetarna utanför murarna och kommunicerar via handdatorer, mobiler och trådlösa nätverk. Mängden information i företag ökar med 125 % per år. E-posten kommer att tiodubblas på några år och bli det primära affärsverktyget. Det som för några år sedan rymdes på stora hårddiskar, får nu plats på tumnagelstora minneskort. Hur ska företag kunna lagra och söka all denna information? Vad är värt att spara? Vad måste man spara? Hur hittar man rätt information? Hur kontrollera att information inte hamnar hos obehöriga? När alla kan vara uppkopplade till alla hur vet vi att du är den du utger dig för att vara? Detta och mycket annat tar vi upp i denna bilaga. Från lagkrav till terrorhot I tidningen kan du läsa om hur nya regelverk som SOX, (Sarbanes-Oxley), EU:s åttonde direktiv och svenska bolagskoden ställer krav på skärpt internkontroll. Här intervjuar vi personer på organisationen SNIA och flera företag om metoder för införande i företag av ILM, Information Lifecycle Management. När vi nu är helt beroende av it, får begreppet Business Continuity en avgörande betydelse; hur vi skapar en stabil it-infrastruktur och kontinuitetsplaner för att säkra en avbrottsfri affärsverksamhet. Faktum är att hälften av börsbolagen saknar en sådan planering. Här kan du läsa om hur man testar och utformar Business Continuity. Du får också veta mer om it-världens doldis, nämligen den fysiska it-säkerheten i form av alla dessa datorhallar som ser till att alla häftiga it-produkter tickar och går. Hört om ITIL? Här får du veta mer om ITIL och dess handböcker med best practices som hjälper företag att kunna skapa standardbaserade it-miljöer som kapar kostnader och ökar produktiviteten. Vi berättar om trender inom datalagring som sänker kostnader och ökar flexibiliteten, bland annat får du veta mer om dynamiska datacenter, virtualisering och konsolidering. Ett stort område är förstås allt som händer inom it-säkerhet. I artiklar tar vi upp mobil säkerhet, skydd mot online-bedrägerier, hantering av identiteter (Identity Management) och metoder för inloggning. Du kan läsa det senaste om nya konstiga virus och illasinnade metoder som används på nätet för att komma åt konfidentiella uppgifter eller hota med att stänga ner webbplatser. Vi tar även upp samhällsperspektivet i en intervju på FOI. På FOI tror man att it-hoten mot samhället ökar på sikt. Planerar terrororganisationer it-attacker? Studerar deras rekryter redan datavetenskap på världens högskolor? Är hackers på väg att slå sig ihop med oetiska företag för att genomföra nätbedrägerier eller industrispionage? Snabbfotade företag tack vare it Det är med andra ord oerhört mycket som händer just nu inom it. Det mesta är positiva saker som stärker affärsverksamheter och ger mer snabbfotade företag. Efter en lång och fantastisk teknikdriven era är det nu dags för it att bli affärsverksamhetens trogne tjänare. Redaktionen Växer ditt IT-beroende? Se till att säkerheten hänger med. INNEHÅLL: Dynamiskt datacenter, virtuella pooler sidan 4 Säkerhet är en ledningsfråga sidan 5 Projektdokumentation på webben sidan 5 Kan nya EU-lagen följas? sidan 6 Säkerhet är vår tids största utmaning sidan 6 Kommunikation och datalagring med ny teknik sidan 7 EU:s nya åttonde direktiv sidan 8 Har styrelsen koll på internkontrollen? sidan 8 Affärsidén måste göra hemläxan sidan 9 Staffan lägger ribban högt sidan 10 Hårdisk med fingertoppskänsla sidan 10 Nätbedrägerier hotar kundförtroende sidan 12 Planerar Al Qaida IT-attacker? sidan 12 Brandväggens moderna återkomst? sidan 13 ILM är en dialog mellan ledning och it sidan 14 Är mobilt säkert? sidan 15 Informationssäkerhet vid mobilt arbete sidan 15 Testa planen för Business Continuity sidan 16 Hantera informationens hela liv sidan 16 It-infrastruktur kräver rätt fysisk miljö sidan 17 Är Pelle verkligen Pelle? sidan 18 Handbok för modern it-miljö sidan 19 Modern it-infrastuktur handlar om att verksamheter idag är helt beroende av it och allt snabbt avstannar om it-stödet faller bort. It har helt enkelt blivit ett oumbärligt stöd för alla affärsprocesser. MED DAGSTIDNINGENS RÄCKVIDD OCH FACKTIDNINGENS FOKUS Vi bygger flest datorhallar i Sverige. MODERN IT-INFRASTRUKTUR EN TITEL FRÅN MEDIAPLANET. Projektledare: Björn Lundberg,Mediaplanet: Redaktionsansvarig: Christer Dånsjö, Produktion: Fredrika Pontén,Mediaplanet Repro:Ordbild, Tryck:Svenska Tryckcentralen. Mediaplanet är världsledande inom tematidningar i dags- och kvällspress. För mer info kontakta Christer Dånsjö, Mediaplanet: Distribueras med Dagens Industri januari 2006.Synpunkter på våra tidningar:synpunkter@mediaplanet.se

3 PLAKAT Jag har bara råd med IT-infrastruktur som fungerar. Det är rätt enkelt. Hur många minuter dröjer det hos dig innan ett driftstopp blir en fråga för ledningen? Färre än förr? Idag måste IT-miljön vara säker, tillgänglig, skalbar och ekonomiskt försvarbar. Det vet vi på Atea och tar därför ett helhetsansvar för både produkter, lösningar och drift. Resonerar du som många av våra kunder, att IT-infrastrukturen är affärskritisk, så uppskattar du en stark partner. Det är rätt enkelt. Atea är Nordens ledande obundna leverantör av IT-infrastruktur. Vi hjälper företag och organisationer att öka nyttan med IT genom att leverera produkter och tjänster i alla led av deras investeringar inom IT-infrastruktur. Våra tjänster omfattar produktförsörjning, infrastrukturlösningar och drifttjänster. Atea har cirka medarbetare i hela Norden och en sammanlagd omsättning på mer än MSEK.

4 4 Modern IT-infrastruktur ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Dynamiskt datacenter, virtuella pooler Det pågår en explosionsartat snabb utveckling där allt mer lagras digitalt. Med växande datamängder duger det inte längre att knyta datalagring fysiskt till särskilda disk- och bandsystem och applikationers användning till specifika servrar. Lösningen är tjänsteorienterad arkitektur, SOA, dynamiska datacenter, konsolidering och virtualiserade data- och beräkningspooler. Vi måste hitta vettiga sätt att lagra all information, dels på ett ekonomiskt, säkert och bra sätt som stöder affärsverksamheten och dels så att den kan återskapas i framtiden, säger Lars Pettersson, vd på Atea. Kvarglömd handdator i taxi Det är inte bara mängden data som ökar snabbt, utan även antalet sätt vi kan lagra data på. Det är också en fråga om säkerhet. Idag kan ett nagelstort minneskort innehålla 1 GB data. Vad händer om en person replikerar ner känslig företagsinformation till handdatorn och glömmer den i taxin? fortsätter Lars Pettersson retoriskt. Med virtualisering och konsolidering av lagringssystem och servrar, kan man öka lagrings- och beräkningskapaciteten rejält samtidigt som företaget får en centraliserad kontroll. Det är lite av de vita rockarnas återkomst där man använder mogen teknik från stordatorvärlden även för pc-miljöer. Med konsolidering av servrar kan man drastiskt minska antalet servrar och därmed också få kraftigt minskad elförbrukning, säger Lars Pettersson. Väv samman it och affärsverksamhet Vår vision är det dynamiska datacentret som i botten har virtuella lagrings- och beräkningspooler som alla användare kan få del av. Till detta krävs en mjuk tjänsteorienterad arkitektur som SOA, Services Oriented Architecture, som löst kan knyta tjänster, information och användare till varandra över företagsnät och internet, berättar Peter Nordlund på Fujitsu-Siemens. Detta underlättar också processen att väva samman it och affärsverksamheten, så att it fungerar som stöd och snabbt kan ändras med verksamhetens nya behov och krav på nya tjänster. Förr handlade it om rationalisering, nu hjälper den till att ta fram nya tjänster. Vi har kommit väldigt långt med virtualisering av lagringsresurser där vi använder avancerad RAID-teknik. Vad gäller virtualisering av servrar har vi sett besparingar på uppåt 60 % lägre TCO (Total Cost of Ownership) och då tillkommer dessutom fördelar i ökad flexibilitet, understryker Peter Nordlund. Han berättar att grunden med en bra infrastruktur finns idag. Företag behöver inte längre ha elektronisk information låst till separata stuprör med applikationer, servrar och lagring. I infrastrukturen ser Peter Nordlund att allt hänger ihop. Den hierarkiska lagringen återkommer med den mest affärskritiska informationen lagrad på snabbaste medierna och närmast verksamheten. Idag kan ett nagelstort minneskort innehålla 1 GB data. Vad händer om en person replikerar ner känslig företagsinformation till handdatorn och glömmer den i taxin? säger Lars Pettersson, vd på Atea Mejl är inte heller något en person äger, utan ses nu som företagets information och kan hanteras och arkiveras av särskilda managementsystem. Garantera konsistenta data Peter Nordlund tar också upp frågan om hur man garanterar konsistenta data. Förr var egentligen alla data inkonsistenta eftersom inget lagrades i realtid. Nu kan vi trots lagring i realtid ha inkonsistenta data genom att många versioner skapas och sprids. Framförallt Officeprodukter, som ju de flesta också använder, utgör en stor risk enligt Peter Nordlund: Vad händer om jag skickar ett dokument till någon annan. Hur kan jag veta att det inte skickas vidare och vidare och inte ändras eller får andra format? Excelfiler är rent livsfarliga eftersom Excel är en hel utvecklingsmiljö i sig, där man bland annat kan skapa makron i filerna. Vi får ju också fler och fler mobila produkter som kan ta emot och skicka filerna, varnar Peter Nordlund. Farliga småkryp och fula fiskar VIRUS Kod som kopierar sig själv utan att användaren gett tillstånd. Syftet är att infektera så många filer som möjligt på datorn. Viruset sprids sedan till fler datorer genom att användare kopierar filer mellan varandra. En fil infekteras genom att virus lägger in kod i filen och sedan ser till att viruskoden körs när filen exekveras. MASKAR Även maskar kopierar sig själva utan användarens tillstånd. Skillnaden mot virus är att maskar försöker infektera så många system som möjligt istället för så många filer som möjligt. Maskar kan komma in i system via e-post och peer-to-peer- eller instant messaging-program. TROJAN En trojan kräver manuell spridning. Trojanen utger sig för att göra en sak, men gör i själva verket något annat. En variant av trojan är bakdörren. En bakdörr gör det möjligt för en hackare att komma in i en dator och ta full kontroll över den. BLANDADE HOT Dessa hot är svårast att komma till rätta med. En kombination mellan mask och trojan kan fungera så att masken sköter om spridningen mellan systemen och trojanen installerar en bakdörr på varje system. PHISHING Kallas även nätfiske på svenska. Nätfisket går ofta till så att e-post med falsk avsändare skickas, ofta till ett stort antal adressater, för att förmå användaren att logga in på en falsk webbsida. Väl där är syftet att få användaren att lämna ut lösenord, användarnamn och annan konfidentiell information. I nätfisket imiteras meddelanden och reklam från kända banker och trovärdiga företag för att locka så många som möjligt att följa instruktionerna i e-posten. Målet är att stjäla pengar, komma åt kreditkort och i vissa fall att stjäla en persons identitet. PHARMING Innebär att användaren styrs om till en falsk webbsida trots att man knappat in den riktiga webbadressen. De falska webbsidorna ser ut precis som originalen. I tron att man är på rätt sida lämnar man ut lösenord, kreditkortsnummer eller bankkontonummer. Hackers utnyttjar brister i DNS-serverns mjukvara (Domain name system). Det är främst funktionen som översätter domännamn till ip-adresser. När hackers tar sig in kan de få tag på domännamn för en viss sida och dirigera om trafiken till den falska webbsidan. Pharming kan även uppstå om en användare laddar hem en trojan, virus eller mask, vilken sedan dirigerar om användaren till en falsk webbsida så snart adressen till den riktiga knappas in. (Källa:Symantec)

5 ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Modern IT-infrastruktur 5 Säkerhet är en ledningsfråga Det säger Anders Vallenfjord, vd på Nocom Distribution, ett företag som erbjuder värdeadderande distribution av hård- och mjukvaror för infrastruktur, analys och it-säkerhet. Anders Vallenfjord har det senaste året kunnat se en mycket snabb och kraftig försäljningsökning inom området it-säkerhet.. FOTO:MAGNUS ÖSTLIN Projektdokumentation på webben För den mobila organisationen och för projekt som arbetar över organisatoriska och geografiska gränser finns möjligheten att samla all projektdokumentation på webben. IRENE BROMS-LINDEBERG Väl fungerande kommunikation är en grundförutsättning för lyckade projekt, säger Pelle Hjortblad, vd för Projectplace International. Därför har vi utvecklat Projektplatsen.se. Vår tjänst ger projektledare ett webbaserat verktyg för planering, dokumentation och uppföljning av projekt. Samtidigt får projektdeltagare, kunder, partners och andra intressenter tillgång till information om projektet direkt på webben. Projektplatsen.se underlättar informationshanteringen i projekt som involverar deltagare från olika företag och organisationer eller som är spridda i världen. Peter Strand, försäljningschef för affärsområdet it-säkerhet på Nocom Distribution och Anders Vallenfjord, vd på Nocom Distribution. Vi har haft ett väldigt expansivt år och it-säkerhet utgör nu 75 % av den totala omsättningen. Medvetenheten har ökat ute i företagen om att it-säkerhet måste prioriteras, säger Anders Vallenfjord. Ju större och mer internationella företagen är, ju mer säkerhetsmedvetna är de. Många har ju redan tråkiga erfarenheter av hur exempelvis virusutbrott någonstans i världen har spridit sig och påverkat deras it-system och därmed affärsverksamheten, säger Peter Strand, försäljningschef för affärsområdet it-säkerhet på Nocom Distribution. Lyft diskussion från tekniknivå På Nocom möter man också ett snabbt ökande behov av kryptering av bärbara datorer, handdatorer och mobiler. Det är inte bara ett ökat intresse för it-säkerhet, utan också en effekt av den explosionsartat snabba ökningen av antalet sålda laptops och olika handburna enheter. Företag måste börja ställa sig en rad frågor, menar Peter Strand. Vem har koll internt på att regler finns och följs? Hur kontrollerar man att varje enskild pc, handdator och mobil är skyddad? Vad kostar det om mejlsystemet går ner? Vem har rätt till vilken information? Vad är policyn, finns den formulerad, kommunicerad och är den verkligen införd? Det finns centrala lösningar för it-säkerhet, men Nocom menar att diskussionen inte får stanna på teknisk nivå. Idag har företagsdata ofta ett strategiskt värde. Det är därför en ledningsfråga och ett ansvar för styrelsen att ha kontroll över informationen. Nocom menar att man måste börja med verksamhetens sätt att fungera och utarbeta en policy med regelverk. En sådan policy måste täcka in alla nivåer och delar av verksamheten. Visa VD grönt eller rött ljus En policy ska täcka in vilken information jag får ha på min laptop eller handdator och hur kontroll ska ske att det som är lagrat är det som får lagras. Vidare måste det finnas regler för behörighet och hur autentisering ska ske med säker inloggning och identifiering av den som får komma åt applikationer, tjänster och data. Hälsotillståndet för it-säkerheten bör kontinuerligt rapporteras till ledningen med rött eller grönt ljus. Ett bra system ska dessutom kunna ge tips om lämpliga beslut och åtgärder, menar Peter Strand. Båda understryker att det gäller att förebygga genom att satsa på it-säkerhet innan det händer något. När väl något händer, är det redan för sent och kan kosta det drabbade företaget stora pengar. Idag ger dessutom ett rent tekniskt skalskydd med enbart antivirusprogram och brandvägg en falsk trygghet. Trojaner åker första klass Ett bra system ska kunna kontrollera identitet och säkerhetsnivå på varje maskin och individ som vill koppla upp sig. Tidigare räckte det till exempel med krypterad trafik i vpn-tunnel, men brandväggar och antivirusskydd kunde inte kontrollera innehållet i det krypterade datapaketet. Det innebar att även trojaner kunde åka första klass tillsammans med krypterade data genom brandväggen och in i företagsnätet. Enbart kryptering i form av vpn räcker alltså inte, betonar Peter Strand. Det är idag också väldigt dålig kontroll av vad som händer när folk ansluter enheter till usb-portar. Det görs nästan ingenting för att kontrollera vad som råkar hamna på eller lämna minneskorten och usb-minnena, varnar Peter Strand. Börja med policy och regelverk Vi har sett en fantastisk it-utveckling, allt från 1980-talets integrerade datasystem med 1000-tals användare fram till dagens mobila internet med miljarder användare. Det är därför ett stort tryck på it-chefer från användare att få komma åt företagsinformation med alla slags mobila enheter. Tekniken finns, men det är stor risk att policys och regelverk inte hinner med i hastigheten, varnar Anders Vallenfjord. Genom att allt går mot mobila lösningar, måste man börja med att bestämma en policy, skapa regelverk och sedan välja lämpliga verktyg innan man släpper in all mobil teknik. I processen får man balansera kostnaden för it-säkerhet mot behoven av mobil kommunikation. För dålig säkerhet kan kosta stora pengar i stillestånd och förlorade affärer och för mycket it-säkerhet kan kosta mer än värdet på informationen som ska skyddas, avslutar Anders Vallenfjord. Pelle Hjortblad, vd för Projectplace International, tror på en ökad andel tjänstebaserade IT-lösningar i framtiden. Idag utgör de bara 5-10 procent av försäljningen. Foto:Ulf Isacson Informationen finns på en neutral plats som alla har tillgång till, dygnet runt, påpekar Pelle Hjortblad. Projektplatsens projektstöd är en s k ASPtjänst (Application Service Provider). I stället för att investera i ett eget system som ska driftas, underhållas och uppdateras köper kunden tillgång till systemet som en tjänst och bestämmer själv antal användare och hur länge tjänsten ska användas. Pelle Hjortblad tror på en ökad andel tjänstebaserade IT-lösningar i framtiden. Idag utgör de bara 5-10 procent av försäljningen. Ofta kan du pröva tjänsten innan du köper den. På hemsidan kan du exempelvis skaffa ett användarkonto och använda tjänsten gratis i 20 dagar.

6 6 Modern IT-infrastruktur ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Kan nya EU-lagen följas? EU-parlamentet har som bekant antagit ett direktiv som kräver att operatörer ska lagra teleoch internettrafik i upp till två år. Den nya lagen har väckt frågor. Vem har ansvaret för att lagra trafiken? Kan operatörerna hantera lagkraven? HAR NÅGON SETT DEN DOLDA KOSTNADEN? Många pratar om kostnaderna för personal och hårdoch mjukvara, men glömmer bort alla dolda kostnader som uppkommer med dåligt fungerande it-miljöer. Dolda kostnader syns inte i resultaträkningen. Undersökningar visar att runt 10% av en anställds arbetstid fungerar inte delar av it-miljön. Det kan vara mejlen eller en server som går ner. Drar man pluggen till it-systemen idag, så stannar ofta hela verksamheten. Förlorad produktivitet, minskat kundförtroende och missade affärer kan vara priset man får betala. Och om ett företag med 1000 anställda var och en ej kan arbeta under 10% av arbetstiden vad kostar det? Den största utmaningen för operatörerna är inte lagen i sig utan de kommande årens enorma ökning av mobil- och internettrafiken, säger Per Dahlqvist, XLENT Technology. I den nya EU-lagen sägs att operatörer ska lagra information om vem som ringer respektive skickar e-post till vem och när man går in på internet. Unika id, namn och adressuppgifter ska lagras. Samma krav gäller för ip-telefoni, sms och mms. I samband med mobiltelefoni krävs även att information om geografisk position sparas. Däremot får inte innehåll i meddelanden eller vilka webbsidor man surfar till sparas. Vem har ansvaret? EU-lagen är den minimala golvnivån. Det är sedan fritt för varje medlemsland att bygga på med fler krav. Det ryktas att Thomas Bodström filar på en skärpning av EUlagen för svensk del, säger Per Dahlqvist. Den stora oklarheten i lagen rör ansvarsfrågan. Ta bara exemplet med iptelefoni. Vem är skyldig att lagra trafiken? Är det operatören av nätet eller Skype om man använder det programmet? Lagstiftarna måste klara ut ansvarsfrågorna, annars blir det domstolar som får lösa det via prejudicerande domar, fortsätter Per Dahlqvist. Ökad trafik utmaningen Framförallt måste operatörer se hela sammanhanget. Det är inte EU-lagen som är den stora utmaningen, utan den enorma trafikökning operatörerna måste kunna hantera. EU-lagen är egentligen en mindre fråga eftersom operatörerna redan har avancerade billingsystem som redan idag lagrar en stor del av uppgifterna, menar Per Dahlqvist. Det som krävs av operatörerna är att de tar höjd i it-strategin. E-posttrafiken kommer att tiodubblas på några år. Mobil- och ip-trafiken kan komma att öka fullständigt explosionsartat med nya tjänster och mer bandbredd. För att möta kundkraven krävs därför utbyggda system som klarar mångdubbelt större trafik. I denna teknikutbyggnad finns plats för ökade krav på lagring av uppgifter, avslutar Per Dahlqvist. TVÅ HÅL I VÄGGEN Utifrån ramverk som ITIL kan man skapa standardbaserade it-miljöer som jobbar med processorienterad leverans av it-tjänster. Beteendet flyttas från att köpa hårdvara till att köpa it som färdiga tjänster till fasta kostnader. För användare på arbetsplatser kan it snart också vara två hål i väggen precis lika naturligt som el. Det öppnar också för mer outsourcing av till exempel hela hanteringen av desktopmiljön, inklusive hårdvara och funktion. Säkerhet är vår tids största utmaning Det säger Berndt Långström, vars erfarenheter spänner över fyrtio års it-utveckling. Han oroas av kontokortbedrägerier på internet och frågar sig vart samhället är på väg när vi lämnar digitala spår som lagras och är sökbara. Det positiva är att det idag finns teknik för att utifrån uppsatta regelverk och best practices, skapa it-säkerhet på alla nivåer i ett företag. Säkerhet är vår tids utmaning när allt mer handel och spel flyttar över till internet. Identity Management är därför hett och bristen på säker identifiering ett stort problem idag. Vid näthandel vill man ju vara säker på att du är du, att du är den du utger dig för att vara, säger Berndt Långström, vd på Internet Smartsec. Kortnummer kapas Kortbedrägerierna ökar enormt på nätet. Ta bara exemplet med nätpoker som har blivit så stort. Många pokersajter har ingen kontroll alls. På sådana ställen kan kreditkortsnummer användas av vem som helst. Seriösa sajter kontrollerar spelare genom att ställa frågor som bara kortinnehavaren kan svara på, till exempel vad mamma hette som flicka, fortsätter Berndt Långström. Han menar att det är stor risk idag att kreditkortsnummer kapas eller blir skimmade av en kortautomat och används på internet. Man kan ha tappat kortet eller skrivit kortnumret i e-post eller på oskyddade webbplatser. Levande fingeravtryck Dosor som producerar engångslösenord är ett steg på vägen mot ökad it-säkerhet, men Berndt Långström anser att det för användaren är jobbigt att hela tiden behöva ha dosan med sig. Har användaren dessutom flera banker, krävs en dosa för varje bank. Den allra bästa lösningen för identifiering är att man rent fysiskt måste hålla i kortet när man loggar in eller betalar, till exempel med ett levande fingeravtryck. Biometriska metoder kommer att vara ett självklart inslag i framtidens kort och vid identifiering, tror Berndt Långström. Säkerhet på alla nivåer När det gäller it-säkerhet är det idag vanligt med lösningar för ssl, vpn och brandväggar, men Berndt Långström ser att it-säkerheten rör sig uppåt mot applikationsnivån. Det kostar helt enkelt för mycket om en affärsverksamhet stannar på grund av obehörigt intrång eller virus i en applikation. Det gäller att ha en it-säkerhet som ger rätt skydd på alla nivåer, från fysiska system till applikationer och själva informationen i sig. Framförallt handlar det dock om att ta fram regelverk som styr hur itsystem ska fungera och information hanteras, förklarar Berndt Långström. Genom att skapa policy, metadata och regelverk, kan man bestämma vilken säkerhet man vill ha. Tyvärr har många företag börjat i fel ända med att först titta på teknik, understryker Berndt Långström. En utmaning är att hindra all smörja i form av spam att översvämma e-postsystem och tvinga operatörer att hela tiden bygga ut sina nätverk. Det kräver en avvägning mellan filtrering och personlig integritet. Certifierade applikationer Certifierade applikationer är ett nytt angreppssätt som Berndt Långström tror mycket på. I traditionella yttre skydd stoppar ofta brandväggar och antivirusprogram även legitima besökare som affärspartners och kunder för att de i sina maskiner inte har senaste versionen av antivirusprogram eller misstänkt skräp. Tid och affärstillfällen kan gå till spillo för att besökaren inte släpps in eller så tar processen att bli godkänd för lång tid. Med de besökare som har certifierade applikationer kan man strunta i om de i övrigt har skräp i datorn. Det är bara den tilllåtna applikationen som får användas. Jag tror att man måste titta mer på vilka applikationer och saker man vill tillåta och mindre på att bygga skydd mot alla Berndt Långström, vd på Internet Smartsec. möjliga och tänkbara kommande hot, säger Berndt Långström. Storebror ser dig? Just när det gäller personlig integritet är Berndt Långström oroad av utvecklingen. När vi alla lämnar digitala spår efter oss och dessa både lagras och kan avläsas, är det i princip möjligt att se vad vi handlar, hur vi rör oss, vem vi ringer och vilka platser vi besöker på internet. EU-parlamentets beslut om att lagra all tele- och datatrafik och systemet med trängselskatter i Stockholm är bara några exempel.

7 ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Modern IT-infrastruktur 7 Kommunikation och datalagring med ny teknik När Carpark började fotografera felparkerade fordon behövdes en infrastruktur för att kunna distribuera och lagra bilderna. Topnordics lösning kan sammanfattas i begreppen virtuellt nätverk, serverkonsolidering och datalagringskapacitet. TEXT: IRENE BROMS-LINDEBERG Carpark är ett nordiskt företag som sköter parkeringsförvaltning åt fastighetsägare och hyr ut parkeringsplatser åt bilister i stadsmiljö. I Sverige har Carpark ca parkeringsplatser spridda över hela landet. Flertalet av de 280 anställda är parkeringsvakter på de olika anläggningarna ute i landet. Företagsledning och administration finns på huvudkontoret i Stockholm. På IT-sidan samarbetar Carpark med Topnordic som levererar både hårdvaror och tjänster. De ansvarar tillsammans med vår interna IT-avdelning för vår tekniska utveckling inklusive framtagning av strategier och policies, berättar Carina Carlgren, driftsansvarig på Carpark i Sverige. Tolv timmar i veckan har vi dessutom en tekniker på plats hos oss. Fyra miljoner bilder Behovet att integrera de 25 kontoren i ett VPN-nät uppstod när Carpark i somras införde fotografering av felparkerade fordon. En testperiod visade att antalet överklaganden av kontrollavgifterna minskade med procent när det fanns bilder på de felparkerade bilarna. Parkeringsvakterna fotograferar numera Parkeringsvakterna fotograferar numera alla bilar som får kontrollavgift. alla bilar som får kontrollavgift. Bilderna laddas ner lokalt och lagras centralt i vår databas. Det handlar om ca 4 miljoner bilder om året, förklarar Carina Carlgren. Bilderna finns sedan tillgängliga för våra handläggare om en kund överklagar sin kontrollavgift. Vi har under året även börjat konsolidera och virtualisera vår driftmiljö, fortsätter Carina. Vi har gjort det med HP Bladeservrar och Microsoft Virtual Server Integrationslösning Kalle Eklund, kundansvarig på Topnordic, förklarar tekniken bakom Carparks integrationslösning. Med HP Blade Server får man fler servrar på mindre yta. Dessutom är det ett driftsäkert system som är enkelt att administrera. Blade servrarna är ännu inte installerade men när FOTO: Pehr Rafstedt de är på plats kommer systemet att kopplas till en SAN-lösning (Storage Area Network) som möjliggör central lagring av all information. Man kommer dessutom att köra Bladen disklösa och boota från SAN:et för att förenkla administration och driftsäkerhet. Optimalt nyttjande Dagens servrar är så kraftfulla att man sällan kan utnyttja den prestanda som finns med bara en applikation installerad på servern. Med Microsoft Virtual Server kan flera applikationer installeras på samma server. De kan då dela på minnen, processorer, nätverkskort etc som finns på servern. Man ökar helt enkelt nyttjandegraden och säkerställer att serverns prestanda nyttjas optimalt, avslutar Kalle Eklund. DAGS FÖR LITE MILD DIKTATUR! Centralisering och konsolidering är två tydliga trender både för it-funktioner och infrastruktur som servrar och lagringssystem. Ofta stöter sådana förändringar dock på patrull på grund av revirtänkande och religionskrig mellan olika avdelningar och teknikläger. Konsolidera? Gärna, men inte just här hos mig, är en vanlig kommentar. Dotterbolagschefer och chefer på alla nivåer hela vägen ner är ofta rädda att förlora makt. Man måste utgå från affärsnyttan. Börjar man med tekniken går det oftast åt fanders, säger Gunnar Hesse, Nordenchef på Unisys. Vad som krävs är mild diktatur för att genomföra nödvändiga förändringar. Sätt upp målen, utse ansvariga att leda och ha mandat att genomdriva konsolideringen samt använd mild diktatur. Det går inte att ha omröstningar och nå konsensus om allt, fortsätter Gunnar Hesse. Först krävs en grundlig utredning av affärsprocesserna. Hur hänger de ihop? Hur hänger processerna ihop med applikationer och it-infrastrukturen? Det hela mynnar sedan ut i ett beslutsunderlag. Det måste också finnas en strategi för hur man förblir konsoliderad och hur underhåll och drift ska gå till. Sätt in en tung person, gärna en som kan både it och vet hur affärsverksamheter drivs. Personen måste ha ledningens stöd. En sådan person kan även slå ner på rena dumheter som beror på revirtänkande och maktintriger, avslutar Gunnar Hesse. INGA VIRUS. INGEN SKRÄPPOST. INGEN NEDTID. E-POST PÅ RÄTT SÄTT. Ingen kan garantera fullständig säkerhet och tillgänglighet till företagets e-post. Symantec har dock ett världsomfattande rykte för att ha gjort e-post lika säker och tillgänglig som den är viktig. Vi hjälper er att inte bara filtrera bort virus, skräppost och spionprogram, utan erbjuder också lösningar för snabb återställning i händelse av en olycka. Vi hjälper dig att sänka lagringskostnaderna genom att arkivera på sekundärminne och stoppa oönskad e-post. Vi erbjuder verktyg för effektiv lagring och att snabbt spåra e-post. Vi hjälper er att hantera er e-post på rätt sätt. Symantec. Eftersom vi vet att det inte bara är e-post. Det gäller era affärer. För mer information, besök SKAPA EN MOTSTÅNDSKRAFTIG INFRASTRUKTUR. Copyright 2005 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries.

8 8 Modern IT-infrastruktur ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS EU:s nya åttonde direktiv Ett nytt åttonde direktiv är antaget och ersätter det gamla från Direktivet innehåller i första hand regler om vilka krav som ska ställas på revisorer som utför revision. Det nya direktivet är en följd av företagsskandalerna och förhandlingar med USA om i vilken omfattning amerikanska regler på området ska gälla för revision av europeiska bolag som har värdepapper noterade i USA. Har styrelsen koll på internkontrollen? Informationssäkerhet och internkontroll är frågor som nu hamnat på bordet hos företagsledningar och styrelser. Anledningen är förstås pressen på företag att efterleva nya regelverk, som amerikanska SOX, EU:s åttonde direktiv och svenska bolagskoden. Det nya åttonde direktivet reglerar revisorer och lagstadgad revision inom EU. Direktivet innehåller bland annat regler om oberoende. Medlemsländerna ska se till att alla kvalificerade revisorer är oberoende av revisionsklienten. För verksamheter av allmänt intresse, som aktiebolag samt företag som bedriver försäkrings-, bank eller finansrörelse, krävs dessutom att revisorn ska bytas ut senast efter fem år eller att revisionsbyrån byts ut senast efter sju år. Verksamheter av allmänt intresse måste också ha en revisionskommitté som består av styrelseledamöter, varav minst en ska ha kompetens inom redovisning eller revision. Kommittén ska övervaka finansiell rapportering, hur effektiv den interna kontrollen är och utöva tillsyn över revision och granska revisorns oberoende. Svensk bolagsstyrningskod I den svenska bolagskoden anges att styrelsen årligen ska avge en rapport om hur den interna kontrollen, vad gäller den finansiella rapporteringen, är organiserad och hur väl den har fungerat under räkenskapsåret. Styrelsens rapport om internkontroll ska enligt bolagskoden granskas av bolagets revisor. I den rapport som revisorn gör, ska han eller hon redogöra för utfört arbete och gjorda iakttagelser. I det nya upplägget av bolagsstyrningskod som kan introduceras under 2006, ska revisorn dessutom lämna en egen uppfattning om styrelserapporten. Bolagskoden är ingen detaljreglering och följer principen följ eller förklara (comply or explain). Det innebär att ett bolag kan avvika från kodens bestämmelser, men måste förklara varför avvikelsen görs. I en försöksperiod gäller koden i första hand de största bolagen på Stockholmsbörsen och efter erfarenheter kan det komma att gälla alla noterade svenska bolag. Utländska bolag på A- och O-listan tillämpar den kod som gäller i bolagets hemland. Finns ingen bolagskod i hemlandet, gäller den svenska bolagskoden. En undersökning av Ernst & Young, Global Information Security Survey 2005, visar att de nya regelverken toppar listan över faktorer som påverkar företagen och deras säkerhetsarbete mest. Efterlevnad, compliance, av regelverk har passerat maskar och virus som den enskilt viktigaste pådrivande faktorn för ökad informationssäkerhet. Bättre internkontroll krävs Den interna kontrollen i företag måste bli mycket bättre för att leva upp till de nya regelverken. Trots att internkontroll och frågor om informationssäkerhet hamnat på styrelsenivå, verkar efterlevnaden på många företag fortfarande mer vara en distraktion Spåra allt i logiska kedjor Regelverken kräver en mycket bra internkontroll. I it-systemen måste man kunna följa allt i logiska kedjor, inklusive beslut, dokumentversioner och uppföljning. Parallellt måste företaget spara dokumentationen och kunna visa hur organisationen har sett ut vid varje tillfälle över en längre period. Företaget måste också kunna visa vem som haft vilken befattning och vem eller vilka som har fattat besluten. Förändringar i organisationen ska kontinuerligt sparas, berättar Andreas Halvarsson. Kraven enligt SOX innebär att data måste sparas i sju år och att företag utan fördröjning kan visa hur beslut har fattats. Information som kan vara av intresse för aktieägare ska kunna presenteras i ursprungligt format och beslutsprocesser redovisas. Det ställer enorma krav på interna rutiner och metoder såväl som it-stöd. Samtidigt måste internkontrollen se till att inga känsliga dokument finns kvar efter sju år. Det krävs därför ett rullande schema för att radera all information som är äldre än sju år. Finns det inte en struktur för hur det ska gå till, finns risk för att känsliga dokument ligger kvar och skräpar i mejlboxar eller privata pc eller på papper i någon pärm, varnar Andreas Halvarsson Stokab IT-infrastruktur för alla Vi kopplar ihop Stockholm Mälarregionen The Nordic-Baltic IT-meeting point AB STOKAB BOX 6813, STOCKHOLM TEL: STOKAB@STOKAB.SE Olof Mellqvist på CA än en möjlighet att utveckla säkerheten, säger Andreas Halvarsson på Ernst & Young. Den amerikanska lagstiftningen SOX är väldigt hård och gäller alla stora amerikanska börsbolag, amerikanska dotterbolag i Sverige och svenska bolag som är börsnoterade i USA. De flesta noterade bolagen i Sverige måste senast i slutet av 2006 följa svensk bolagskod och EU: s åttonde direktiv. De nya regelverken är till för att skydda aktieägarintressena och förhindra felaktig rapportering och rena bedrägerier. SOX och EU: s åttonde direktiv är lagstiftning med straffansvar. Den svenska bolagskoden innehåller rekommendationer som om de inte följs i värsta fall kan leda till avnotering. Regelverken kompletterar och överlappar delvis varandra. Många krafter driver på Svenskt näringsliv har börjat fokusera på att skapa ramverk för bättre efterlevnad. De flesta säkerhetspolicys är dock för generella och luddiga och därför svåra att tillämpa, säger Olof Mellqvist på CA. Man måste utgå från affärsverksamhetens krav för att lyckas. Hur kan it stödja affärerna? Hur avgränsa och bestämma hur information ska lagras och användas? Drivkrafterna för att skapa en bra internkontroll är dock många. Det har delvis med företagets profil att göra, där kunder helst vill göra affärer med företag som har bra efterlevnad av reglerna, fortsätter Olof Mellqvist. Han menar att förutom lagar och kunders krav, ska man inte glömma att många företag ingår i värdekedjor tillsammans med tillverkare, partners, leverantörer och distributörer. Trycket på att alla i kedjan ska efterleva regelverken och ha god etik och moral, kommer att snabba på processen med att införa en bra internkontroll, tror Olof Mellqvist på CA. Internkontroll bra för alla EU: s åttonde direktiv kräver att räkenskapsinformation sparas i upp till tio år. Men nu tillkommer även i Europa krav om att all slags finansiell information ska sparas tio år för att skydda ägarintressen. Ett företag har ett löpande ansvar för att säkerställa en god intern kontroll. Intialt fanns det en tendens hos många företag att vara rätt negativa till de nya regelverken. De såg efterlevnaden av de nya regelverken som nya pålagor och bara mera administrativt jobb. Nu är det annorlunda. Attityderna har vänts till positiva känslor när man upptäcker Andreas Halvarsson på Ernst & Young. fördelarna med att ha kontroll över processerna i verksamheten. Det har visat sig att bra internkontroll är bra för alla, inte bara för aktieägarna. Den hjälper alla att snabbt få tag på rätt information såväl som att se vem som har gjort och beslutat vad i processerna. God internkontroll ger en ökad hastighet i processerna och därmed mer snabbfotade företag, vilket ju är A och O i dagens värld, betonar Andreas Halvarsson.

9 ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Modern IT-infrastruktur 9 Affärssidan måste göra hemläxan Det säger Per Dahlqvist på XLENT Technology. Han menar att affärssidan först måste förstå kraven i alla regelverk och sedan uttrycka dessa i företagets styrpolicy ( Corporate Governance ). Först därefter kan man be IT-sidan om hjälp med den tekniska lösningen. Arne Åkerblom och Per Dahlqvist på XLENT Technology Öhrlings PriceWaterhouseCooper, PWC, och XLENT har i seminarier informerat företag om de nya regelverken och hur man hittar lösningar för att hantera och efterleva dem. PWC har berättat om kraven i regelverken, med betoning på SOX och den svenska koden för bolagsstyrning. XLENT å sin sida har presenterat en metodik för att sätta policy och regler på plats och sedan införa systemstöd för både efterlevnad av regler och ILM, Information Lifecycle Management. Kaos hotar Företag överöses med allt fler nya regelverk, lagar och standarder. Samtidigt ökar mängden information enligt Meta Group med 125 % om året. Analytiker tror att datamängden i e-postsystem tiodubblas bara på några år, säger Arne Åkerblom på XLENT Technology. E-postsystem är idag affärskritiska och hanterar affärsavtal, offerter, beställningar och viktig korrespondens. Affärs- och ärendehanteringssystem producerar ökande datamängder. Det kan lätt bli kaos om inte företag snabbt ser till att förhålla sig till alla nya krav och den snabbt ökande datamängden, varnar Arne Åkerblom. Processer, ordning & reda och systemstöd Utan effektiva processer, ordning och reda och ett bra systemstöd blir situationen ohållbar. All information måste kunna lagras och vara spårbar. För det krävs att man har kontroll på spårbarheten, där data och information registreras som flöden i processer. Det krävs även kontroll av själva processerna i sig, understryker Per Dahlqvist. Vilka processer och informationsflöden finns? Vilka system och databaser behövs? Vem äger informationen? Affärssidan måste först göra sin hemläxa där man sätter upp en policy och ett regelverk för hur allt från fakturor till e-post ska lagras, betonar Per Dahlqvist. XLENT har här en metodik för att analysera alla regelverk, och identifiera vilken påverkan de har på verksamheten. De nya kraven ska sedan finnas med i företagets styrande riktlinjer, Corporate Governance. XLENT använder också en egen variant av Information Lifecycle Management, ILMx, för att styra och kontrollera systemens dataflöden. På XLENT finns ett särskilt kompetenscentrum för ILM där 20 konsulter arbetar. Det krävs ju ordning och reda för att fånga, klassificera, söka och hämta samt radera rätt data vid rätt tillfälle, understryker Per Dahlqvist. Information via mellanlager För den tekniska delen i ILMx samarbetar XLENT med leverantören AXS-One som har en skalbar helhetslösning för Content & Complience. Lösningen fungerar som mellanlager mellan ett företags affärslogik och dess existerande lagringssystem. All information går igenom mellanlagret där det klassificeras och sedan indexeras. Sökningar kan göras på allt, som ord, fraser eller datum. Mellanlagret använder en mängd parametrar, som utifrån policy och regler, lagrar all information på rätt sätt. Lagret kör även en unik patenterad lagringsteknik som minimerar lagringsutrymmet genom att inte lagra varje bit och byte. Genom en skiktad lagringsarkitektur flyttas information automatiskt till allt billigare medier med tiden, avslutar Arne Åkerblom. 12 miljoner användare i 120 länder SAP affärssystem har funnits i mer än 30 år och har mer än 12 miljoner användare i 120 länder. e-motion technology är ett svenskt konsultföretag som specialiserat sig på de tekniska lösningar som SAP erbjuder. Vi är experter på systemintegration och processförbättring med hjälp av EDI och SAP Business Workflow, berättar Jarl Henriksson, konsultchef på e-motion technology. Dagens företag och organisationer måste ständigt anpassa sig till förändringar i omvärlden och den snabba tekniska utvecklingen. Nya marknader, fusioner och andra organisations-förändringar samt nya lagar och förordningar ställer krav på förändringar i affärssystem och övrigt IT-stöd. INTEGRATION MED WEBB Ett nyckelbegrepp i sammanhanget är SOA (Service Oriented Architecture) som innebär en tjänstebaserad IT-infrastruktur där tjänsterna kan användas av olika system. I SAP-världen kallas den typen av arkitektur för ESA (Enterprise Service Architecture). Med SAP NetWeaver som plattform får företaget ett flexibelt affärssystem som kan använda ESA för att sammankoppla enskilda webbtjänster till en process i affärssystemet, säger Jarl Henriksson. Ett konkret exempel är att införa beställningar via Internet. Med hjälp av ett ES integrationsverktyg skapas inte bara en s k web service. Verktyget ser också till att ordern registreras i ekonomisystemet, att lagersaldot uppdateras och kontrolleras, ordervärde godkänns med mera. Därmed minimeras behovet att utveckla egna gränssnitt mellan de olika systemen. e-motion technology AB info@e-motion.se Stockholm: S:t Eriksgatan 117, Stockholm, Telefon: Göteborg: Mölndalsvägen 40, , Telefon: Malmö: Amiralsgatan 13 Malmö, Telefon: MEDVERKAR PÅ SAP-UTBILDNING e-motion technology startade sin verksamhet år Idag har man ett 30-tal medarbetare fördelade på kontor i Stockholm, Göteborg och Malmö. Bland kunderna finns företag som Ericsson, Mölnlycke Health Care, Volvo, Pfizer, Folksam och Vattenfall. Företaget är partner i SAP Svenska Användarförening, SAPSA, och deras konsulter medverkar ofta som lärare på SAPs utbildningar i både Sverige och i England. Vi vet hur man hanterar SAPs teknik och vi hjälper våra kunder att få en säker och distribuerad informationshantering, avslutar Jarl Henriksson.

10 10 Modern IT-infrastruktur ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Staffan lägger ribban högt Staffan Strand har alltid älskat att hoppa högt. Nu har han lagt upp tre ribbor på en gång. Efter en fotskada förra våren, laddar han för fullt för friidrotts-em i sommar. Samtidigt forskar Staffan vid Minneapolis University om ökade prestanda i IP-baserade lagringsnät och arbetar som Storage Consultant på Hitachi Data Systems i Sverige. och mindre relevant informationen blir. Till slut hamnar data på band där kostnaden är försumbar. Hur skapas it-infrastrukturen? Det är inte så svårt att skapa en väl fungerande infrastruktur för datalagring. Utmaningen ligger i att förstå värdet i informationen, så att hela tiden rätt data ligger på rätt media vid rätt tidpunkt. En lösning är virtualiserad lagring som minskar komplexiteten genom att inte låsa lagrade data till separata fysiska disksystem. Istället kan data lagras utspridda över lagringsenheter och presenteras för användarna som virtuella lagringspooler. Dessutom förenklas flytten av volymer kraftigt jämfört med en miljö som inte är virtualiserad. Vinsten är ett effektivare utnyttjande av företagets totala lagringskapacitet och sänkta totalkostnader både för hårdvaruinköp och administration. Traditionellt utnyttjas annars ofta inte mer än högst 20 % av diskutrymmet på 80 % av diskarna, eftersom de är låsta till fysiska servrar och särskilda applikationer i raka stuprör. Hårdisk med fingertoppskänsla LaCie har lanserat små mobila hårddiskar, SAFE Mobile, som använder hårdvarukryptering av data och fingeravtryck för åtkomst. Inloggning med fingertoppskänsla är enligt företaget både säkert och mycket enkelt. SAFE Mobile är ett både enkelt och säkert sätt att logga in och använda en krypterad disk. Användaren behöver bara svepa ett finger över disken så är han eller hon inloggad. All kryptering av filer sker automatiskt med hårdvarukryptering, säger Raphaël Roudet på LaCie. Staffan Strand glider över 2,35 på GE Galan Globen Hej, Staffan, hinner du verkligen med allt? Visst är det mycket på en gång, men jag upplever att mina olika aktiviteter berikar varandra. Även om jag vore idrottsman på heltid, skulle jag inte kunna eller vilja träna mer än jag gör nu, säger Staffan Strand med ekorrpigga ögon och stor entusiasm. Hur går träningen? Jo tack, mycket bra. Jag har varit skadad med en stressfraktur i foten sedan i mars förra året, men under hösten kom jag igång bra med träningen. Nu ligger jag precis under max och kör nio pass i veckan, varav tre styrkepass, två snabbhetspass och fyra hoppstyrkepass. Tvärtom mot vad folk kanske tror, tränar man inte hela hopprörelsen med ansats och hopp över ribba så ofta. Det är nämligen enormt fysiskt belastande för hela kroppen, så därför kör jag bara ett sådant pass i veckan och då max 15 hopp. Det krävs dessutom 100 % koncentration att utföra hela hopprörelsen, så intensivträning på den nivån kan man inte köra hela tiden. Hur kom du in på höjdhopp och vad är målet nu? Jag var nog runt sex år när jag började hoppa höjd tillsammans med kompisar i kvarteret. Vi hade tävlingar och jag minns att mamma och pappa ordnade en höjdhoppsmatta genom att fylla kaffebönsäckar med skumgummi. Senare provade jag på kula, slägga, spjut och stav, men höjdhopp har alltid varit min passion inom friidrotten. Mitt närmaste mål är förstås friidrotts-em i Göteborg i sommar, men jag hoppas också kunna vara med i OS i Peking Du har doktorerat i datateknik. Vad forskar du om? Ha ha, det kan lätt bli tekniskt invecklat att förklara, men man kan kort säga att jag tittar på hur man kan öka prestanda i lagringsnätverk som använder IP-protokollet och iscsi. Det handlar mycket om att se på parametrar och protokoll som driver trafiken. Renodlade datacenter och särskilda lagringsnät är statiska och stabila miljöer där det sällan blir fel på kommunikationslänkar. För IP-nätverk rör det sig däremot om långa avstånd, FOTO: Hasse Sjögren många länkar, noder och anslutningar samt en gränslöst skalbar struktur. Trenden för it-infrastrukturer är tydlig det är IP som gäller. Därför talar mycket för att även lagringssystemen på sikt flyttas över till IP-nätverk. Det finns nämligen stora ekonomiska fördelar: man kan använda billig standardutrustning och det finns massor av folk som kan IP-teknik. Prestandan kan dock vara ett problem och det är just därför det finns ett stort intresse av att forska om det. Förutsättningarna för lagring på IP-nätverk kommer att vara betydligt bättre när 10 Gigabit Ethernet kommer ner i pris, men Fibre Channel lär fortsätta att vara den primära teknologin för datalagring, åtminstone under den kommande femårsperioden. Vilka utmaningar ser du inom storage? Storage är väldigt spännande just nu. Det skapas enorma mängder information och till skillnad från vatten eller el, så finns den kvar även efter det den är skapad och använd. Men många frågor måste kunna besvaras. Hur ska man garantera integriteten hos data, att den inte förvanskas eller ändras av obehöriga? Vem ska ha behörighet att göra vad? Hur läggs grunden för bra revision där man kan spåra alla beslut, dokumentversioner och vem som har gjort vad hela vägen bakåt i processer? Jag ser utmaningar för storage på områden som hantering av information på lång sikt, säkerhet och tillgänglighet. Säkerhet är en stor fråga och rör identifiering och åtkomst till lagringssystem, säkerhet i managementverktyg och lagringsrelaterad mjukvara, säkerhet för data vid flytt över nätverk och slutligen säkerhet för data lagrade i vila. När det gäller datahantering på lång sikt är det inte så lätt som man tror att bestämma hur data ska lagras och när de ska raderas. Det kan vara svårt att identifiera vilka data som inte lyder under lagkrav och offentliga regelverk. Även om man har en policy för radering, så är det i praktiken oftast omöjligt att följa den på annat sätt än genom manuellt arbete. Den bästa lösningen är därför att skapa en infrastruktur, som successivt flyttar data till allt billigare lagringsmedier ju äldre Om tekniken redan finns, vad är problemet? Visst, det finns tekniska lösningar för att skapa infrastrukturen. Det svåra är snarare att utifrån policys sätta upp regelverk för hur länge olika sorts data ska sparas på olika medier och för vad, hur och av vem data får hanteras. För att skapa en bra infrastruktur måste man börja med att lyfta upp frågan till verksamhetsnivå och se på processerna i företaget och hur information skapas på alla nivåer i företaget. Nyckeln till framgång är att utgå ifrån affärsprocessernas krav och anpassa datalagringen efter applikationerna. Sedan kan man anpassa lagringslösningen och infrastrukturen till verksamhetens behov och kartlagda informationsflöden. Eftersom it-produkter idag är standardiserade och miljöerna samtidigt blir allt mer komplexa, bör man i infrastrukturen knyta ihop allt som är it-relaterat, som till exempel nätverk, lagring, servrar och applikationer, till en helhet. Kortfakta om Staffan Strand Personbästa: 2,32 m utomhus,2,35 m inomhus Medaljer: Guld inomhus-em 2002,brons inomhus-vm 2001,brons utomhus-em SM-guld 1995,1996 och 1997.Segrare DN-galan 1998 och 2001 Utbildning: Master of science in computer engineering,doktorand i datateknik Minneapolis University Yrke: Storagekonsult inom pre-sale och strategifrågor på Hitachi Data Systems Första gången som hårddisken kopplas in, använder diskinnehavaren en mjukvara för att välja mellan en krypteringsnyckel som använder DES (56 bitars nyckel) eller Triple- DES (128 bitars nyckel). Krypteringsnyckeln använder lösenord på 24 tecken som lagras på ett chip i hårddisken. Det finns enligt LaCie ingen möjlighet att hacka sig in och komma åt nyckeln. Kan ej fuska med fingeravtryck Därefter är det dags att lagra ett unikt fingeravtryck. Två olika fingrar dras över diskens skåra tre gånger. Sensorn i skåran läser av alla parametrar som krävs för igenkänning av de två unika fingeravtrycken. Ett av fingeravtrycken fungerar som reservfinger. Det hela görs dessutom som en fingerrörelse och inte bara med tryck på en platta. Den biometriska metoden bygger inte på optisk avläsning, utan på biologiska och elektro-magnetiska parametrar. Det går därför inte att fuska med kopierade fingeravtryck. Upp till fem olika användare kan registrera sig på med egna anpassade åtkomsträttigheter på samma hårddisk. Tack vare dagens enkla gränssnitt med usb, kan vem som helst på nolltid tanka över all information från en oskyddad extern hårddisk. Vår kombination med hårdvarukryptering och fingeravtryck ger ett helt säkert skydd för överföring och lagring av känsliga data, understryker Raphaël Roudet. Ryms i skjortfickan Diskarna är så små att de ryms i skjortfickan. De finns med 40, 80 eller 120 GB och har anslutning för USB 2.0. Det går även att välja diskar med biometrisk inloggning, men utan kryptering ett alternativ som enligt LaCie passar när behovet inte är absolut skydd av hemligheter, utan mer att bara hindra åtkomst till diskens information på jobbet och resan samt i hemmet.

11 SÄKER OCH KOSTNADS- EFFEKTIV INFRASTRUKTUR Företag och organisationer lever i en allt tuffare konkurrens. Kraven ökar ständigt på ökad effektivitet och sänkta kostnader. Olika metoder och produkter har utvecklats för att optimera IT-system och drift av dessa. TOPNORDIC har specialist kompetens inom denna typ av lösningar och kan hjälpa er att få optimal effekt av era IT-system. TOPNORDIC är en av Nordens mest erfarna aktörer inom modern kostnadseffektiv infrastruktur. Vår kompetens och våra certifieringar är er trygghet. Vi har många referenser som kvitto på att vår erfarenhet och våra insatser har medfört stora förbättringar och sänkta kostnader för våra kunder. Välkommen till TOPNORDIC! Carina Carlgren, Carpark är mycket nöjd med TOPNORDIC och det långsiktiga samarbetet sedan TOPNORDIC GER OSS TRYGGHET OCH HJÄLPER OSS ATT UTVECKLAS - En av TOPNORDICs fördelar är att de tar stort ansvar för att vi utvecklas och hittar de bästa lösningarna. Deras kundteam kan vår verksamhet och kommer med många förslag på förbättringar som vi har stor nytta av. säger Carina Carlgren, Carpark. Vi jobbar bara med de bästa tillverkarna och varumärkena som till exempel HP, VMware och Platespin. STOCKHOLM Tel: GÖTEBORG Tel: LANDSKRONA Tel: LogicaCMG är ett globalt IT-företag, med nära 40 års erfarenhet, som tillhandahåller lösningar, lednings- och IT-konsulter samt tjänster inom systemintegration och outsourcing. Vi är verksamma inom flertalet marknader, bland annat telekommunikation, bank och finansiella tjänster, energi, kraftindustri, transport & distribution samt den offentliga sektorn. LogicaCMG är listat på Londons och Amsterdams börser, har huvudkontor i Europa och runt anställda på kontor i 35 länder. I Sverige har vi kontor i Stockholm och Karlskrona. Är dina IT-system bra för affärerna? Hur övergripande strategier översätts till konkreta affärsmål är en drivande faktor för förändringar inom IT. När IT-projekten sedan i sin tur blir underlag för affärer uppstår två nyckelfrågor: - Hur kan man säkerställa att underlagen för IT-projekten är korrekta, kompletta och helst också stabila? - Hur kan man veta att (utkontrakterad) IT-drift ligger i linje med förväntningar i affärsledet? Lösningen är Business IT Alignment, ett samlingsbegrepp för hantering av frågor som berör både affärs- och IT-verksamhet. Business IT Alignment hjälper också till att bedöma IT-systemens effektivitet och nytta. LogicaCMG:s Business Acceptance Management-metod stöder Business Alignment genom att ge ledningen full kontroll över projekten på ett konsekvent, fullständigt och tydligt sätt. Därmed uppnås högre kvalitet med kontrollerad risk till lägre kostnad. Business Acceptance Management (BAM) Business Acceptance Management skapar en formaliserad mekanism för verifiering av kvalitet mellan IT-hantering (intern såväl som utkontrakterad) och resten av organisationen. Metoden styr och mäter kvaliteten genom hela utvecklingen av projektet. Hjärtat i processen är LogicaCMG:s beprövade metod för styrning och struktur av testning - TestFrame, erkänd på marknaden genom våra projekt samt genom våra böcker och artiklar inom området testning. TestFrame Hög kvalitet och snabb lansering på marknaden är nyckeln till framgångsrika IT-projekt. Tradionella testmetoder försenar ofta lanseringen och skapar kostnader och frustration. LogicaCMG:s testmetod TestFrame möjliggör god testning inom rimlig tid, med kontroll över risker, kostnader och kvalitet. Metoden är utvecklad och förfinad under många år i olika typer av projekt. Mer information hittar du på Kontaktperson är Business Manager Vahid Zohali, telefon

12 12 Modern IT-infrastruktur ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Nätbedrägerier hotar kundförtroende Affärer och betalningar över internet är ett snabbt växande område för internetföretag, banker och finansinstitut. Det har också gjort företagen och dess kunder till måltavlor för online-bedrägerier. Finns inte ett tillräckligt bra skydd hotas det allra mest värdefulla kundförtroendet. Det pågår en allmän och livlig diskussion om vad man kan göra. Mycket står på spel om nätaffärer hotas av ökande online-bedrägerier, säger Hardy Nelson, vd på Symantec. Kunder kan förlora pengar, investeringar i näthandel går förlorade och ett minskat kundförtroende kan leda till minskad försäljning och i värsta fall ett förstört varumärke, fortsätter Hardy Nelson. Ingen silver bullet Många brukar fråga om det finns en silver bullet, en enda bästa lösning, men det gör det inte. För att skapa säkra online-betalningar ska man inte börja med själva tekniken, säger William Bear, Director Services EMEA, Symantec. Han menar att säkerhet handlar om en rad saker som måste fungera ovanför tekniken. Det handlar om processer, rutiner och människors kompetens hos företag såväl som konsumenters säkerhetsmedvetande och beteende. Före allt annat kommer kundförtroendet. Här måste alla hjälpas åt att informera konsumenter, så att de med ökad kunskap ändrar sitt beteende på internet, särskilt nu när bredband och trådlösa nätverk slagit igenom i hemmen, betonar William Bear. Det måste bli självklart att använda antivirusprogram och brandvägg, titta efter låssymbolen på säkra webbsidor och undvika att klicka på bilagor till eller länkar i e-post när det verkar obekant, råder William Bear. Kundförtroende avgörande Innan man kommer in på teknik, bör företag och banker först göra en analys av vilken inverkan olika hot kan ha på affärsverksamheten. Det gäller att skaffa sig en bild: Var finns riskerna och hur agerar vi om något händer? Hur kan vi skydda kundförtroendet? Lösningen som skyddar mot onlinebedrägerier måste vara en kombination av utbildning, kommunikation och teknik. Jag kan ta ett exempel med ett företag som drabbades av en phishing-attack. När oroliga kunder ringde till call center, kunde personalen där inte svara på några frågor. Om personalen istället hade varit utbildad och tränad för sådana situationer, kunde de ta hand om kunderna och snarare förstärka än försvaga kundförtroendet, understryker William Bear. Symantec erbjuder tjänster för central övervakning med avancerad intelligens som snabbt larmar om och kan stänga nättjänster vid hot om intrång och bedrägeriförsök. Ofta har Symantec överenskommelser med banker och operatörer om vad som ska ske vid incidenter. Symantec övervakar mycket av den enorma trafik som pågår dygnet runt, världen över. Företaget hanterar till exempel 25% av världens e-postlådor. Systemen blir allt robustare. Med intelligens på alla nivåer i system och nätverk samt en effektiv backup, kan vi allt snabbare reagera och sätta in åtgärder, avslutar William Bear. Planerar Al Qaida IT-attacker? Är IT-attacker mot samhällets infrastruktur nästa terrorvapen? Hur kommer IT att kunna användas för industrispionage i framtiden? På FOI, Totalförsvarets forskningsinstitut, försöker man svara på dessa och många andra frågor som rör långsiktiga hot mot samhället. Intention ICKE-KVALIFICERAD ANTAGONIST KVALIFICERAD ANTAGONIST Det pågår en ständig kamp mellan hot- och skyddssidan. I takt med att systemkomplexiteten ökar är jag rädd att IT-hoten mot samhället kommer att öka på sikt. Man kan befara att allt fler aktörer i framtiden både har ITkompetens och illasinnade avsikter, varnar Henrik Carlsen på FOI. Vid Avdelningen för försvarsanalys på FOI finns idag en grupp analytiker som arbetar med IT-säkerhet utifrån perspektivet att försöka förena frågor kring tekniska möjligheter, drivkrafter hos olika aktörsgrupper samt utvecklingen inom lagstiftning och policy. Eftersom samhällsfunktionerna blir allt mer IT-beroende, är forskning kring IThot prioriterat på FOI. Till skillnad från SÄPO och Försvarets radioanstalt (FRA) verkar inte FOI operativt, utan forskar långsiktigt om hot och möjliga försvar. Runt 85% av uppdragen kommer från Försvarsdepartementet, FMV och Försvarsmakten. Prislistor på DoS-attacker Graffittikulturen med unga hackers som vill bli berömda är på väg ner. Nu flyttar istället den organiserade brottsligheten fram sina positioner. Vi ser också ett ökat intresse från kommersiella aktörer som önskar utnyttja de nya möjligheterna och möjliga legala gråzoner. Det finns prislistor på DoSattacker (Denial of Services) och du och jag kan upphandla dessa operationer. Just nu pågår en rättegång i Israel mot ett mycket välkänt företag som anklagas för att via en mellanhand ha placerat en trojan i en konkurrents IT-system. I Storbritannien blev nyligen en person frikänd trots att det var bevisat att han utfört en DoS-attack genom att bombardera ett företag med massutskick av e-post, berättar Henrik Carlsen. Målet för it-attacker kan vara att minska tillgängligheten hos konkurrenters IT-system eller att snoka rätt på känslig information genom intrång. Kostnaden för minskad tillgänglighet är förlorade affärer, minskat kundförtroende och dålig publicitet. Genom intrång kan den illasinnade läsa e-post och konfidentiella dokument, men också ta över datorer och system för egna syften. Se upp för antagonisterna! Henrik Carlsen talar om aktörer i form av antagonister och icke-antagonister, aktörer som har respektive inte har en vilja att hota samhällets viktiga system. Begreppen möjlighet och avsikt används för att beskriva om aktörer har eller inte har ITkompetensen respektive avsikten att kunna attackera samhällets system. Traditionellt har mest energi ägnats åt att försöka kartlägga antagonistiska gruppers försök att tillskansa sig erforderlig kompetens, men Henrik Carlsen menar att mer möda bör ägnas åt förstå den andra möjligheten, den varför en IT-kompetent respekterad aktör skulle vilja passera gränsen för det tillåtna? Finns Al Qaida på högskolan? Vi ser en trend att illasinnade aktörer söker skaffa sig hög IT-kompetens, antingen själva eller i samverkan med andra aktörer. Det är väl inte så troligt att det inte skulle finnas personer som sympatiserar med olika terroristorganisationer vid välrenommerade universitet och högskolor i väst. Vem vet om det finns långsiktiga planer på storskaliga itattacker? Majoritetens bedömning har dock hittills varit den att de har större intresse av IT som ett verktyg för exempelvis kommunikation, än att slå mot infrastrukturen. Även industrispionage kan få ett uppsving genom samarbeten mellan hackers och oetiska företag. Som en följd av 11-septemberattackerna har det blivit svårare för utländska doktorander att ta sig till USA, så vi ser istället en tillströmning till europeiska universitet. Finns här kommande hot eller är det bara en spegelbild av globaliseringen och betydelsen IT har för affärsverksamhet idag? Det är relativt enkelt att lamslå vissa delar av IT-infrastrukturer och jämfört med många andra områden kan man säga att det inom IT finns genvägar till kunskap. IT är ingen rocket science i den mening att det alltid krävs lång utbildning inom de traditionella institutionella ramarna, vilket är fallet för kärnvapen, biokemiska vapen eller nanoteknik. Inom IT kan en 18-årings kunskap om något delområde räcka till för att kunna ställa till stor skada, understryker Henrik Carlsen. Tusentals knäcker krypton Enligt Henrik Carlsen är industrispionage ett allt intressantare område för underrättelsetjänster runt om i världen här är gränsen ICKE-ANTAGONISTISK KVALIFICERAD AKTÖR Förmåga luddig i många länder mellan vad som är näringspolitik och säkerhetspolitik. Amerikanska NSA kallas ibland för världens största arbetsplats för matematiker, och den samlade kompetensen överstiger vida den samlade kunskapen i hackersamhället. Ett krypto kan man knäcka på i princip två sätt: med rå kraft i form av beräkningsoch minneskapacitet eller matematiskt genom att på ett intelligent sätt knäcka algoritmerna, berättar Henrik Carlsen. Han berättar vidare att för den förstnämnda metoden kan man med hjälp av kunskaper om den tekniska utvecklingen ganska väl förutsäga hur lång tid det ska ta innan krypton knäcks. Det är däremot omöjligt att förutsäga hur lång tid det kan ta att matematiskt knäcka algoritmer. Det kan gå på en eftermiddag eller ta hundra år. Vägkartor för utvecklingen inom matematiken är det ingen som sätter sig ned och försöker konstruera. Just denna oförutsägbarhet är ett högriskhot mot den krypterade trafik samhället använder. Plötsligt skulle ju till exempel all krypterad trafik mellan ambassader kunna avläsas i klartext, avslutar Henrik Carlsen.

13 ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Modern IT-infrastruktur 13 Brandväggens moderna återkomst? Brandväggar har traditionellt använts för att skydda företags interna system mot yttre hot. Idag ser det annorlunda ut. Mobil kommunikation, nätbaserade affärsverksamheter och samarbetande företag i värdekedjor har drivit fram behovet av en ny generation brandväggar. Vi har varit inriktade nästan helt på distribuerade lösningar, där vårt utbud av små och mellanstora brandväggar passar bra, säger Fredrik Arveskär, nordisk chef för SonicWALL. SonicWALL är nummer tre i världen på brandväggar efter giganter som Juniper och Cisco. På de allra minsta brandväggarna är företaget etta och på medelstora tvåa. Det är snabbt marscherat av ett företag som startades 1991 av två indier med målet att skapa produkter för säker internettrafik. Idag har företaget 450 anställda och återförsäljare runt om i världen. Det finns två huvudlinjer i brandväggsvärlden: dels skydd för stora distributionsnät där varje anslutet kontor eller butik behöver brandvägg och dels centrala säkerhetscentraler, som till exempel för banker som behöver ett yttre skydd, säger Fredrik Arveskär, nordisk chef för SonicWALL. Vi har varit inriktade nästan helt på distribuerade lösningar, där vårt utbud av små och mellanstora brandväggar passar bra. Sedan flera år har vi även brandväggar för skydd av stora centrala företagsnät, ett område där vi kommer starkt, fortsätter Fredrik Arveskär. Genom segmentering kan man begränsa spridning av virus eller andra problem till ett fåtal segment, säger Dennis Bergström, technical account manager på SonicWALL. Brandväggens framtid? Framtiden är brandväggar med UTM, Unified Threat Management. UTM har funktioner för kontroll av port, avsändar- och mottagaradress och granskning av paketets datadel, payload, vilket brukar kallas Deep Packet Inspection (DPI). Brandväggar har då förstås även innehållsfiltrering, vpn samt antispam- och antispionprogram. Med UTM får brandväggar ett komplett intrångsskydd och kan uppdateras i realtid. Det blir nog standard att brandväggar även stöder trådlösa nätverk, Quality of Services (QoS), iptelefoni och lastbalansering, tror Fredrik Arveskär. Segmentering av företagsnät är en annan stark trend. Många företag har en ganska platt nätstruktur. Ett virus kan då snabbt sprida sig över hela nätet till olika affärskritiska system. Med moderna brandväggar kan man skapa en rad interna säkerhetszoner, berättar Dennis Bergström, technical account manager på SonicWALL. Varför behövs segmentering? Ju fler virus och trojaner, ju större blir behovet av att segmentera företagsnätet. Med segmentering kan man få olika zoner för fjärranvändare, lokalkontor, produktionsnät, databaser, ekonomi, marknad och så vidare. Brandväggarna skyddar då inte bara mot yttre hot utan också mot inre. Genom segmentering kan man begränsa spridning av virus eller andra problem till ett fåtal segment. En plan nätstruktur som inte har ett sådant skydd, löper stora risker. Ett mejlvirus kan till exempel sprida sig över hela företaget via mejlprogrammets adressbok, varnar Dennis Bergström. SonicWALL kommer från den distribuerade miljön. Vi är därför vana att segmentera i säkerhetszoner, till exempel med olika fysiska portar för arbete och privat datakommunikation. Utifrån policy och regelverk ska brandväggar arbeta med att logga incidenter, autentisera behöriga användare, skapa loggar för revision och kontrollera all trafik och webbsurfning. Det är också viktigt med autentisering av både maskiner och individer, fortsätter Dennis Bergström. Abonnera på brandvägg En annan trend är att brandväggar säljs som en tjänst. Kunden behöver då inte bekymra sig om allt det komplexa kring drift och administration av brandväggen, utan kan till exempel köpa tolvmånaders abonnemang av brandvägg, antivirus och antispam. Vi ser även en trend att nätet trycks ut och mobilnät konvergerar med fasta och trådlösa ip-baserade nätverk, vilket ökar behoven av brandväggar ännu mer, avslutar Fredrik Arveskär. Ta kontroll över ditt dataflöde! Information Lifecycle Management (ILM) är ett heltäckande koncept för att styra och kontrollera systemens datafl öden. Från och med det att data skapas och initialt lagras till den tidpunkt när det blir gammalt och rensas bort. Vi på XLENT Technology har under en lång tid jobbat med frågor som rör ILM. Nu satsar vi på XLENT Technology helhjärtat på ILM, och har därför skapat ett kompetenscenter som vi döpt till ILM Center of XLENT. Tillsammans med AXS-One, som är världsledande inom ILM lösningar, kan vi erbjuda vår anpassade och kostnadseffektiva ILM x -lösning för ditt företag. Vår kompetens Vi har närmare 20 konsulter med spetskompetens inom ILM: Arkiveringslösningar Infrastruktur Utredningar i syfte att ta fram policy och regelverk Dokument- och ärendehanteringssystem Informationsklassning och modellering Analys av informationsflöden Konfigurering av lösningar Implementationsprojekt projektledning, projektstyrning Support och förvaltning Kontaktpersoner Arne Åkerblom: Per Dahlqvist: Bo Gråberg: e-post: ILMx@xlent Regeringsgatan 67 Universitetsallén Stockholm Sundsvall

14 14 Modern IT-infrastruktur ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS ILM är en dialog mellan ledning och it Det säger Per Karlsson, ordförande i DMI, Data Management Initiative. Han menar att ILM, Information Lifecycle Management, är en handfast metod att bryta den nya trenden mot ökande kostnader för datalagring. DMI är ett europeiskt initativ från SNIA, Storage Networking Industry Association, som är en icke vinstdrivande organisation dominerad av amerikanska tillverkare av lagringsprodukter. Förutom att vara ordförande för DMI, är Per Karlsson invald som vice ordförande för SNIA i Skandinavien, samt teknikchef hos svenska IT-integratören PROACT. Kurvan vänder uppåt Från 1992 fram till idag har TCO, total ägandekostnad, för lagring av datamängden 1TB, fallit från fem miljoner USD/TB data och år till USD/TB data och år. Men nu har kurvan börjat vända uppåt, säger Per Karlsson. Länge kunde vi glädja oss åt både fallande pris på hårdvara och ökande kapacitet samt allt bättre verktyg, processer och nät- Man måste börja fråga sig vad det egentligen är som ligger på diskarna. Är allt verkligen viktigt och vad behöver sparas länge? Dialog mellan världar Per Karlsson menar att ILM egentligen handlar om kommunikation och dialog mellan två världar: verksamhetssidan som använder information i interna och externa processer och it-sidan som hanterar ettor och nollor, det vill säga den datateknik som ska stödja processerna. ILM är ett sätt att få igång dialogen och stegvis nå målet att både sänka TCO och förbättra kvaliteten på avtalade lagringstjänster, så kallade Service Level Agreements (SLA), understryker Per Karlsson. SNIA talar om det informationsorienterade företaget, där information är den centrala aktören och inte it-teknik eller lagring. SNIA beskriver ILM som en standardbaserad och affärsdriven metod som sammanför människor i affärsverksamheten med it- och säkerhetsfolk. ILM utgår från informationens värde för att skapa policys och krav på informations-, data- och säkerhetstjänster. Kort om Data Management Iniative (DMI) Arbetet i SNIA är tekniskt inriktat på att utveckla standarder för lagring. DMI är ett initiativ av SNIA där man har arbetsgrupper som tittar på marknadstrender,ilm,best practices, behov och erfarenheter från slutkunder,diskbaserad återställning,kontinuerligt skydd av data (Continuance Data Protection,CDP) och långtidsarkivering (LTA CSI). En grupp,där även svenska företag och slutkunder är med, utreder hur man kan klassificera data (Data Classification Task Force). DMI bjuder in slutkunder,forskare och leverantörer till möten och seminarier för ett brett utbyte av idéer,kunskap och erfarenheter. Per Karlsson är ordförande för DMI, vice ordförande för SNIA i Skandinavien och dessutom teknikchef hos svenska IT-integratören PROACT. verk. Men även om disk är billigt, duger det inte längre att bara slänga på mer disk, eftersom en allt större del av kostnaden för storage är knuten till själva datahanteringen, menar Per Karlsson. Varför? Jo, komplexiteten ökar med de enorma datamängder som lagras, vi får allt fler och mer avancerade användarkrav och så väger naturligtvis yttre legala krav in i bilden GB kan bli 125 GB I ILM ser man först på krav och behov. Allt fler börjar förstå att minst 50 % av allt data kan tas bort. Ett enkelt räkneexempel är att multiplicera grad av diskutnyttjande med hur stor andel som är aktuella data och slutligen med procenten data som är relevanta för verksamheten. En sådan analys visar att av 1000 GB kan det vara så lite som 125 GB som är viktiga att spara! understryker Per Karlsson. Diskutnyttjande kan optimeras med teknik som iscsi, virtualisering, hierarkisk lagring, standarder som SMI-S och backup på disk. Om aktuella data definieras som yngre än tre månader, kan äldre aktiva data automatiskt flyttas till billigare lagringsmedier. Övriga data som inte ska ändras mer, behöver inte längre backup, utan kan långtidsarkiveras eller raderas. Aktiva data som är relevanta för verksamheten lagras på olika sätt efter hur de har klassificerats i ILM. Ofta behandlas all information på samma sätt, som om den var lika mycket värd. Med ILM identifierar, värderar och klassificerar man och matchar informations-, data- och säkerhetstjänster mot affärsregler och policys, förklarar Per Karlsson. Data kan klassificeras efter applikation, datagrupper, metadata och innehåll. När data är klassificerade kan man definiera ett ramverk för SLA och servicenivåer som olika data kräver. SLA-nivåer täcker in sådant som prestanda, tillgänglighet, skyddsklasser, arkiveringsklasser (online, band eller offsite), klasser för efterlevnad (regelverk som HIPAA, SOX, EU:s 8:e direktiv och svensk bolagskod) och säkerhet. Det kan vara bra att börja med en applikation eller avdelning och stegvis pröva sig fram. Arkivering av e-post kan vara en lämplig början. Man ska se ILM som en vägkarta för införandet av en företagslösning som hanterar all information under informationens hela livscykel. ILM är klassificeringsdrivet och ett handfast sätt att stegvis nå målet, avslutar Per Karlsson. För information om närmsta återförsäljare kontakta oss på eller se Trygga affärer med säker it Smartsec är distributör och certifierad utbildare för

15 ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Modern IT-infrastruktur 15 Är mobilt säkert? Mobil kommunikation växer lavinartat. En spindelväv av trådlösa ip-nätverk och mobiltelefonnät växer fram. Internet är bara en knapptryckning bort i laptops, handdatorer, smart phones och mobiler. Enorma mängder data kan lagras på pyttesmå minneskort och usb-minnen. Har ditt företag kontroll? Vet du hur mycket av företagets information som ligger utanför företaget idag? Väl fungerande mobilitetslösningar handlar inte så mycket om teknikval, som om hur väl företaget lyckats med att analysera verksamhetens processer, säger Mats Mägiste, Cygate Måldata. 90 % utanför murarna Idag är 90 % av personalen ofta utanför företagets elektroniska ringmurar, vilket innebär att allt mer information flyttas ut från fasta interna företagsnät. Hur mycket finns där ute? Hur används informationen och av vem? Arbetssituationen för anställda är helt annorlunda idag: man arbetar utanför företaget både hemifrån via bredbandsuppkoppling och på fältet med handdator eller mobil, understryker Mats Mägiste. Visst är mycket möjligt att göra rent tekniskt, som till exempel videokonferenser på flyget, men man måste främst ha ett högt säkerhetsmedvetande. Om du sitter med hörlurarna på och kör videokonferens på din laptop hur många runt dig kan inte höra dig och se vad som händer på datorskärmen? fortsätter Mats Mägiste. Även Lars Pettersson, vd på Atea, varnar för säkerhetsriskerna med trådlösa nätverk: Allt mer blir trådlöst. Vad händer om någon sitter i en bil på en parkeringsplats och tankar ner information från öppna företagsnät? Det kan vara svårt att hinna med att sätta upp regelverk för hur mobila enheter får användas, men det är nödvändigt och bråttom! Identitet och närvaro Mats Mägiste menar att det idag främst är två problem som måste knäckas: identitet och närvaro. För att uppnå mobil säkerhet måste företaget dels veta var du finns rent fysiskt och dels kunna identifiera att du verkligen är du. Han menar att man dessutom måste se helheten med mobil kommunikation. Strukturkomponenter i ett mobilnät är enligt Mats Mägiste personer, enheter, som handdatorer och mobiler, säker transport, transportvägar och informationskällor. Ett företag bör tänka strategiskt när det gäller strukturkomponter på alla nivåer i mobillösningen. Helst bör man vara oberoende när det gäller val av transportvägar och vilka handenheter personalen använder. Lägger man allt hos en operatör finns risk för inlåsning. Dessutom är det lätt att tappa kontrollen över säkerheten. Vad händer till exempel om operatörens centrala server hackas? säger Mats Mägiste. Väg risk mot affärsnytta Han menar vidare att man måste väga risker mot ökad produktivitet när man skapar mobillösningen. Det finns verktyg som kan hjälpa ledningen att göra en riskbedömning och sedan hitta tekniska lösningar för användarnas behov. Är det värt affärsnyttan att släppa in handdatorer? Behöver alla kunna vara online hela tiden? Mats Mägiste nämner också den explosiva teknikutvecklingen av handenheter som en risk. Kärnsystemen i en mobilitetslösning måste stödja både handenheter som används idag och kommande modellskiften, så att kunden slipper ständiga systemskiften. En gyllene regel för god säkerhet är att företaget aldrig får förlora kontakt med sin information. Finns kontakt kan systemet blixtsnabbt dra tillbaka eller radera information som finns ute på handdatorer och mobiler. Med Idag är 90 % av personalen ofta utanför företagets elektroniska ringmurar, vilket innebär att allt mer information flyttas ut från fasta interna företagsnät. Hur mycket finns där ute? undrar Mats Mägiste, Cygate Måldata. bra rutiner kan företaget enkelt skapa funktioner för till exempel automatisk radering av information i handenheter som inte kunnat kontaktas på en viss tid, säger Mats Mägiste. Digital nyckelknippa En brännande fråga idag är hur autentisering och säker identifiering ska kunna ske. Här finns allt från fasta lösenord, kryptering, biometriska metoder och engångslösenord till olika kombinationer av dessa. Det allra bästa systemet är ett där den som loggar in använder flera separata hemligheter. En användare med handdator kan till exempel känna till ett eget lösenord och använda en dosa som producerar engångslösenord. Det kan liknas vid en nyckelknippa som man ju är van att öppna dörrar med. Med dosan för engångslösenord kan du använda ditt lösenord överallt för dörrar och inloggning till företagsnät via internet, förklarar Mats Mägiste. Det är lätt att introducera ett sådant system och det höjer säkerheten enormt mycket. Jag brukar fråga publiken vid mina presentationer om de anser att de har en god säkerhet i sina bärbara enheter. De flesta svarar ja och många har dessutom kryptering på sin information. Problemet är bara att den hemlighet de använder, lösenordet, allt för ofta är ett statiskt sammansatt lösenord. Tyvärr är ett sådant lösen ofta väldigt banalt, som ett familjenamn och lösenordet blir då den högsta säkerhet lösningen får, varnar Mats Mägiste. Goda råd på vägen Mats Mägiste har några goda råd på vägen mot en säker mobillösning: välj att lita på personalen, men se till att ha förmågan att stänga av stödsystem på ett effektivt sätt för dem som lämnar företaget, utbilda personalen i säkerhet och utgå från användarnas erfarenheter och arbetssituation vid val av vilka slags handenheter de ska använda. Han understryker också att man inte heller får glömma frågan om vem som är huvudägare till informationen. I Windowsmiljöer kan systemadministratören normalt titta i alla filer och mappar, men vd kan ju ha filer som bara får läsas av en liten grupp personer. Systemadministratören får inte vara gud över informationen, utan här måste en lösning se till att han eller hon kan se affärskänsliga filer, men inte öppna dem. I alla framtida lösningar blir det oerhört viktigt att lässkydd och eventuell. kryptering styrs av andra kriterier än systembehörighet, avslutar Mats Mägiste. Informationssäkerhet vid mobilt arbete Med SafeBoots krytperingslösning för bärbara datorer kan SWECOs konsulter använda sina bärbara datorer ute i fält utan att riskera att känslig information kommer i orätta händer. IRENE BROMS-LINDEBERG Kjell Lundberg, ansvarig för IT-säkerhet på SWECO. Med anställda är SWECO ett av Nordens ledande konsultföretag inom teknik, miljö och arkitektur. Företagets konsulter arbetar ofta ute hos kund. En tredjedel av arbetsstyrkan har bärbara datorer. Samtidigt är det viktigt att information som lagras på datorerna inte kommer i orätta händer. SWECO måste kunna garantera säkerheten när det gäller känslig information om kundernas verksamhet. På grund av vår policy för IT-säkerhet var det tidigare omöjligt att ha med sig affärskritisk information när man arbetade utanför kontoret, säger Kjell Lundberg, ansvarig för IT-säkerhet på SWECO. Men sedan SWECO installerat säkerhetslösningen från SafeBoot är det inte längre något problem med bärbara datorer och informationssäkerhet. SafeBoot Device Encryption krypterar den bärbara datorns hårddisk och gör datorn omöjlig att starta utan rätt lösenord. Vi utvärderade lösningar från företag som låg i Gartners övre kvadrat för datasäkerhet. Valet föll på SafeBoots lösning för att den är enkel att administrera och ligger bra till prismässigt, säger Kjell Lundberg. Hela SWECOs IT-miljö bygger på Singel Sign On, vilket innebär att användaren bara ska behöva ange ett lösenord för att komma åt alla system. Den traditionella Windows-inloggningen har nu bytts ut mot SafeBoots inloggningsruta och användaren behöver inte göra något extra för att datorn ska vara skyddad.

16 16 Modern IT-infrastruktur ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Testa planen för Business Continuity Business Continuity, kontinuitetsplanering, brukade handla om lagring och återställning. Sedan kom millennieskiftet, euron, 9/11, nya legala regelverk samt marknadskrav efter Enron och nya it-trender. Företag har fått göra nya kontinuitetsplaner, men vet de vad planerna är värda i skarpt läge? Tester är svaret. Det har varit en dramatisk utveckling de senaste åren där kontinuitetsplanering har fått en helt ny karaktär, säger Henk Sanders, Director LogicaCMG Test Management & Consultancy. Många skäl att testa Förr handlade det om lagring och återställning, nu berör planerna också människor, aktiviteter och processer. Alla företag gör planer, men utan återkommande tester kan de inte veta hur bra planerna är. Det finns flera orsaker att testa; utveckling i affärsprocesser, legala krav, marknadskrav, ny teknik och oväntade avbrott, fortsätter Henk Sanders. LogicaCMG arbetar mest med stora organisationer och företag inom telekom samt bank och finans. Hos dessa kunder har man många års erfarenheter av att testa system, teknik och processer. Alla nya krav och hot kräver enligt LogicaCMG ett nytänkande och en ny planering för att garantera en kontinuerlig affärsverksamhet. För varje företag finns en konstant risk för händelser som kan leda till förlust av information, tillgång till system eller nyckelpersoner. Det måste finnas flera möjligheter till snabb återställning så att inget förloras och affärsprocesserna inte störs. Här måste it stå för skyddet. Avbrott kan skada varumärket och leda till finansiella förluster, säger Vahid Zohali, Konsultchef och ansvarig för testing på LogicaCMG i Norden och Baltikum. Balansera risk mot krav Det finns en myriad av olika tester som går att utföra, bland annat sektion till sektion, simuleringar, fullskaletest av incidenter, kommunikation, procedurer och it-miljöer. Många tester sker live. För återkommande tester ändras upplägget från gång till gång och olika människor involveras, allt för att undvika att testerna blir tråkig rutin. LogicaCMG använder en risk och kravbaserad modell för test, BAM, Business Acceptance Management, där företag enligt LogicaCMG kan få full kontroll över projekt och uppnå högre kvalitet till lägre kostnader och en kontrollerad risk. Med BAM kan man balansera kostnad, risk och kvalitet på ett effektiv sätt. Det hjälper också företag att ha kontroll över kontinuitetsplaneringen när it-funktioner är utkontrakterade. BAM anpassar IT till verksamheten. Genom testerna kan man till exempel hitta bästa lösningen för outsourcing, för att ta reda på om svaret är onsite, offsite eller offshore, berättar Vahid Zohali. I tester används även automatiska verktyg och helt automatiserade miljöer. BAM har enligt LogicaCMG använts med framgång för både enskilda företag och värdekedjor med många samarbetande företag. Normalt har ju företag olika språk i sina avtal och processer, men med BAM är det möjligt att hitta ett gemensamt språk som alla förstår. Det gäller bara att ha klart för sig var i värdekedjan man har egna tester och var man testar hela kedjan, säger Henk Sanders. Avbrott kan skada varumärket och leda till finansiella förluster, säger Vahid Zohali, Konsultchef och ansvarig för testing på LogicaCMG i Norden och Baltikum. Hantera informationens hela liv Datamängden i företag växer i snitt med ca 50 % per år och itbudgeten som mest med 5 %. Samtidigt ökar kostnaden för datahantering på grund av externa och interna krav. Många talar nu om ILM, Information Lifecycle Management, som en lösning på alla krav. ILM är en strategi och process som utifrån affärskrav automatiserar infrastrukturen för lagringstjänster. Vägen till ILM 1) Konsolidera tjänster för datalagring (t ex backupsystem) 2) Klassificera data i klasser (t ex efter snabbaste ROI) 3) SLA:mappa klasserna mot Service Level-mål 4) Automatisera utifrån SLA 5) Inför ILM över hela företaget och alla system Anders Wahlfridsson, technical account manager, Storagetek Patrik Philipson, Sverigechef på Storagetek Anders Ekbjörn, Sun Microsystems. Yttre krav kommer från kunder, finansiella marknader och legala regelverk, som SOX, EU: s åttonde direktiv och svensk bolagskod. Inre krav rör frågor som: vem ska ha behörighet till vad, hur länge ska olika data sparas och hur skilja ut viktiga data från betydelselösa? Fram till 2007 kommer världens samlade arkiverade datamängd att uppgå till hela 75 Exabyte, varav bara 3,6% är data som krävs för efterlevnad av legala eller bransch regelverk, så kallade compliance-data, säger Patrik Philipson, Sverigechef på Storagetek. Det går att spara mycket lagringsutrymme genom att identifiera dels vilka data som krävs för efterlevnad av regler och rent allmänt vilka data man egentligen behöver säkerhetskopiera. Analyser visar ofta att uppåt 80% av datamängden i ett företag är sådant som inte kräver backup. ILM handlar bland annat om att säkerhetskopiera rätt data, säger Anders Wahlfridsson, technical account manager, Storagetek. Hur hitta och klassificera? Vi ser en trend där kluster och samarbeten växer fram mellan företag och man släpper in varandra i sina företagssystem. Då gäller det att rätt person kan komma åt rätt data vid rätt tillfälle och till rätt kostnad, säger Anders Ekbjörn, Sun Microsystems. Han menar att de flesta företagsledare är medvetna om att information är en strategisk tillgång, men de frågar sig hur man ska kunna hitta den information som är affärskritisk och den som krävs för den finansiella rapporteringen. Många företag saknar en strategi för att möta utmaningen. Var och hur börjar man? Hur räknar man hem investeringarna? ILM en strategi och process ILM är just en sådan strategi som kan sättas på plats i företaget. Den leder till en rad taktiska åtgärder för att nå strategins mål. En del av åtgärderna rör automatiserad datahantering, andra täcker in klassificering av data samt processer och arbetssätt i verksamheten. ILM ska ses både som en strategi och en kontinuerlig process där det kan ta mellan fem och sju år att nå målet, säger Anders Ekbjörn. Affärsnyttan med ILM är stor enligt Anders Ekbjörn. Företag kan agera snabbare på marknaden tack vare en automatiserad lagringsstruktur med data klassificerade i grupper. Bättre prestanda i lagringssystem och klara behörigheter gör att verksamhetens behov och krav kan uppfyllas bättre. Bra ordning bäddar för snabb spårbarhet. Den ökade automatiseringen leder till lägre driftskostnader. ILM garanterar slutligen integriteten hos data, så att det inte går att ändra data som ska arkiveras och att aktiva data bara får ändras av behöriga enligt regelverk och roller. ILM omfattar allt som rör hantering av data, allt från hård- och mjukvaror till regler, roller och arbetssätt. Tekniken finns i form av Enterprise Content Management och stöttande infrastruktur. Problemet har tidigare varit att få ILM på plats det har saknats teknologi och tolkar som förstår affärskraven och kan omsätta dem i tekniska lösningar, säger Anders Ekbjörn. Gemensam managementplattform ILM minskar kostnaden för datalagring. Även mindre företag är intresserade av modulära disksystem och kan använda en gemensam managementplattform för all lagring i företaget. Med virtualisering ökas dessutom lagringskapaciteten och skapas ett skikt mellan hårdvaror i botten och användare och applikationer i toppen, säger Patrik Philipson. Ett lagringssystem måste garantera att viktiga data inte går att radera. Logiska fel i hård- eller mjukvara får inte leda till att det inte går att göra backup på data eller replikera data till flera ställen. System för långtidslagring måste garantera säker arkivering på minst två geografiskt åtskilda platser, allt från några år till för evigt beroende på vilka krav och lagar som gäller. Det ska också vara möjligt att byta lagringsteknik i framtiden utan att data förändras, understryker Anders Wahlfridsson. Börja med förstudie Helst bör man börja med en förstudie. Det är viktigt att först se på företagets processer och var man ska börja. Var får vi snabbast högst avkastning på en investering? Var är det enklast att börja? När data ska klassificeras gäller det att inte ha för många klasser. Det gäller vidare att undvika olika lösningar för olika områden. Lagringssystem får inte låsas till särskilda system i stuprör. Till ett ärende kan ju dokument från många system vara knutna, som e-post och Office-filer såväl som rapporter och statistik från kundvårds- och affärssystem, säger Anders Ekbjörn. Det är bra att börja med en riskanalys där man dels tar reda på vilka data man har och vad kostnaden kan bli om man ej har tillgång till dem. Vad kostar det att vara utan mejl en timme? Hur drabbas företaget om ordersystemet är nere en dag? På så sätt kan man väga informationens värde mot kostnaden för och valet av lagringsmedia, säger Patrik Philipson.

17 ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Modern IT-infrastruktur 17 It-infrastruktur kräver rätt fysisk miljö Det säger Maths Waxin, vd på Coromatic, när han guidar runt på en av Europas säkraste datorhallar. Tv-kameror övervakar varje steg. Det krävs kort, lösenord och fingeravtryck för att komma in i varje rum. Det blåa ljuset blinkar när ett finger läses av. Om allt stämmer öppnas en tung ståldörr till nästa rum. hur man lyckats säkra information och hur människor reagerar. 50 % saknar kontinuitetsplan Runt 50 % av börsbolagen har ingen kontinuitetsplan. De har ingen aning om hur de ska återstarta om den primära datorhallen slås ut. Här finns ett glapp mellan den säkerhet kunder tror att de har och den brist på fysisk it-säkerhet och planering som finns. Ledningen måste tala om vilken säkerhetsnivå företaget bör ha. Kan verksamheten stå stilla två dagar eller en vecka? Hur drabbas intäkter och varumärke? Tillsammans med samarbetspartners kan vi göra analyser och föreslå åtgärder för kontinuitetsplanering, avslutar Maths Waxin. Maths Waxin, vd på Coromatic Det skrivs sällan om fysisk it-säkerhet, kanske för att den inte upplevs som lika sexig som den senaste häftiga hårdvaran. Utan denna doldis skulle dock inte ingen it-infrastruktur fungera eller ny potent hårdvara kunna briljera. Rätt fysisk it-säkerhet krävs helt enkelt för en kontinuerlig affärsverksamhet, understryker Maths Waxin. 60 datorhallar om året Coromatic bygger runt 60 datorhallar om året i Sverige, drygt en i veckan färdigställs. Nära 1/3 av hallarna är reservhallar. Företaget har fått en dubbelt så stor marknad efter 9/11, bränderna i Kista och alla naturkatastrofer. Idag skaffar företag en andra datorhall som reserv och banker går från två till tre datorhallskoncept. Datorhallen är en hel värld i sig. Här finns rum med rack fulla med servrar och lagringsmedia, nätverk, fläktar, kylaggregat, tv-övervakning, luftdetektorsystem, passagesystem, reglersystem för luftfuktighet, kraftförsörjning, tryckluft, reservkraft och automatiska anordningar för brandsläckning. Kylan känns från både golv och tak när kall luft strömmar in genom hålperforerade framdörrar på serverracken. Temperaturen ligger fast på 20 grader och luftfuktigheten på 55 %. I separata låsta rum finns ups-aggregat med mängder av stora batterier. Förutom normal dubbel strömmatning kan datorhallen vid elavbrott få el från dieselaggregat som skulle kunna klara elbehovet i en mellanstor svensk stad. Går en kabel varm känner perforerande rör med sensorer i taket av förändringen i luften. Vid risk för brand sker automatisk släckning med torrt vatten i form av inerta gaser som binder upp syret. Reservarbetsplatser Nu när it är hjärtat i nästan alla företags verksamheter och nätverken blodomloppet, så måste it få stöd av rätt fysiska miljö. Vi är lite av fastighets-, säkerhets- och it-företag på en gång. När vi bygger och driver datorhallar måste vi därför ha kunskap om allt från inbrotts- och brandskydd till it, kylteknik och lufthantering, säger Maths Waxin. Maths Waxin visar också reservlokaler som står färdiga att ta emot företag som drabbas av avbrott, som till exempel bränderna i Kista. Här kan ett drabbat företag snabbt starta om verksamheten. Det finns all nödvändig data- och teleutrustning, reservarbetsplatser, handelsplatser och rum för krisledning. Minst en gång om året testar företagen sin krishantering och genomför scenarioövningar. På så sätt kan de få svar på hur snabbt verksamheten är igång igen, Kortfakta om datorhallen vi besökte: Byggd år 2000 och i full drift utan något produktionsstopp sedan dess kvm total yta * Elförsörjning:Dedicerat ställverk med kapacitet på 6.000A.Reservkraftverk (diesel) 3st kraftverk i ljudisolerade containrar.total effekt kva,ytterligare kva i extra reserv * Brandskydd enligt SS/EN * Fukttät enligt LGA appraisal BW * Gastätt enligt DIN18095 * Inbrottsskydd enligt DIN V 18103/ET3 * Självförsörjande på kyla för preciserad luftfuktighet och temperatur Tekniska fakta om IT-rum:Brandklass F90D, enligt EU-norm EN1047 (SS-EN1047-2), gastätt enligt DIN 18095,hermetiskt tillslutet, inbrottsskydd enligt DIN V 18103/ET3,mekaniskt skydd ger motståndskraft mot byggnadsdeformation och skydd mot magnetism och EMP enligt princip för Faradays Cage.

18 18 Modern IT-infrastruktur ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Är Pelle verkligen Pelle? I dagens mobila värld kan snart alla vara uppkopplade till alla. Den snabba utvecklingen ökar företagens behov av regler och roller för behörighet och åtkomst till system och data. Inte minst krävs lösningar för att kunna identifiera att Pelle verkligen är just Pelle. Identity Management slår här fler flugor i en smäll med ökad säkerhet, ordning och reda och en förenklad inloggning för användare. Det fullständiga begreppsnamnet är egentligen Identity and Access Management och står för hantering av identitet och åtkomst till system och data. Hetast på marknaden Identity Management är nu hetast på marknaden tillsammans med ILM, Information Lifecycle Management. Just att kunna identifiera personer och skapa fungerande kontrollsystem för åtkomst till data, är det största problem som kunder känner att de har idag, säger Måns Håkansson, Solutions Manager på Sun Microsystems. Företag har under årens lopp byggt upp olika öar av plattformar, applikationer och system som ger en fragmenterad datahantering. Varje system och applikation hanterar data på sitt eget sätt. För många företag är det därför en betungande administration att hantera autentisering och åtkomst till allt. I takt med att vi har klarat det yttre skyddet med antivirusprogram och brandväggar, Måns Håkansson, Solutions Manager på Sun Microsystems. riktas blicken mot den interna kontrollen och säkerheten. Vem har tillgång till vad? Är Pelle verkligen Pelle? Hur vara säker på identiteten den kan ju kapas av illasinnade, säger Olof Mellqvist, teknisk chef på CA. Idag är allt komplext. Allt är sammankopplat med allt. Det handlar inte längre om enskilda system, utan allt måste kunna samverka på ett säkert sätt. Vi har projekt där vi administrerar identiteter och där själva tekniken bara utgör 10 %. Det mesta handlar om mjuka faktorer som har med processer och verksamhetens krav att göra, fortsätter Olof Mellqvist. Separera roller och funktioner Identity Management åstadkommer tre saker: ökad säkerhet, ordning och reda samt en enklare tillvaro för användarna där de slipper en massa olika lösenord. Det är viktigt att separera roller, funktioner och data från varandra. Vem får betala ut pengar? Vem sätter löner? Vem attesterar reseräkningar? Separerade roller och funktioner är viktiga där det handlar om mycket pengar, som till exempel vid försäljning och inköp. Det måste kunna gå att spåra och reglera allt som sker. Just ordning och reda är en form av intern hygien och prioriteras lätt ner om inte de ekonomiska konsekvenserna är uppenbara. Det som verkligen biter är hur Identity Management löser frågan om säkerhet och användarupplevelsen, säger Måns Håkansson. När ledningen får klart för sig att känslig information kan skickas över nätverk och vara tillgänglig för partners, leverantörer eller i värsta fall kriminella, då fattas beslut om att investera i ökad säkerhet. Ökad säkerhet och produktivitet får företag också genom att förenkla för användarna, så att de slipper skriva hundratals olika lösenord, fortsätter Måns Håkansson. Hur går det då till? Ja, Måns Håkansson menar att man först måste fråga sig var man vill vara om tre år. Sedan ska man hitta lösningar för alla användarkategorier och roller för vem som får göra vad. Lösningarna måste utgå från företagets verksamhetsprocesser och inte enskilda system och applikationer. Därför säkrar man först system som finns och utnämner processägare tvärs över företagets olika system och inte i systemen eller grupperna. Slutligen måste ansvaret för it-säkerheten och identitetshanteringen centraliseras. Gränsöverskridande Det måste vara gränsöverskridande lösningar. Traditionellt har inte it-avdelningen hanterat kundvårds- eller affärssystem, men nu måste processerna, som ju oftast använder många olika system, vara det som styr Identity Management. När det gäller att säkra själva infrastrukturen, bör man börja med grundläggande system som Windows, stordator och vpn. Därefter går man vidare och säkrar applikationerna. Man får inte heller glömma bort applikationer vars drift är utkontrakterad, som till exempel månadsrapportering av tid. Även dessa är en del av it-stödet och måste administreras på ett säkert sätt. Vidare gäller det att kontrollera identitet och åtkomst för nyanställda och personal som har slutat, berättar Måns Håkansson. Det finns idag bra mjukvaror för identitetshantering, administration av behörighet och roller samt åtkomst till applikationer via webbportaler, avslutar Måns Håkansson. I dagens mobila värld kan snart alla vara uppkopplade till alla. Då krävs det lösningar för att kunna identifiera att Pelle verkligen är just Pelle. Power for success Magirus samarbetar med sveriges bästa systemintegratörer och återförsäljare över hela landet för att få närhet till Er. Kontakta oss om Era framtida planer gällande effektivisering av system och infrastrukturlösningar Magirus Nordic AB Isafjordsgatan 19, S Kista Tel: Fax:

19 ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Modern IT-infrastruktur 19 Handbok för modern it-miljö Många företag har höga kostnader för drift och underhåll av sina it-miljöer. Kostnaderna drivs upp av brist på struktur, ett teknikdrivet perspektiv och manuell hantering med ständiga brandkårsutryckningar. Det behöver inte vara så. Med hjälp av ITIL kan företag skapa standardbaserade it-miljöer där kostnader kapas och it stödjer affärsprocesser. ITIL (IT Infrastructure Library) har blivit ett hett ämne i Sverige. Utbildningar och seminarier är fullbokade. Men vad är då ITIL och vad är nyttan? ITIL är ett ramverk för att göra it processorienterat och it-miljöer standardbaserade. Det omfattar en rad handböcker med samlade best practices för olika processer i ett företag. Sunt förnuft med struktur ITIL är egentligen sunt förnuft använt på ett strukturerat sätt. Istället för att it är teknikdrivet, är grundfilosofin i ITIL att it ska vara processorienterat och utgå från behoven i affärsverksamheten, säger Peter Petersen. Vi brukar gå ut i organisationer och fråga affärsansvariga vilka krav de har på tillgänglighet till sina system. Ska de alltid fungera även om det kostar 100 miljoner kronor? Tack vare ITIL kan man komma vidare med en analys där krav är mätbara. Mätbara krav kan ställas mot kostnader och hjälpa företaget att hitta en rimlig nivå, säger Patric Garcia Montoya, affärskonsult på WM-data. Idag vet de flesta it-chefer inte vad de ska leverera när verksamhetsansvariga kommer med sina krav. Genom en analys utifrån ett ITIL-perspektiv kan vi matcha rätt ittjänster mot affärskraven och visa effekter med TCO- och ROI-analyser, fortsätter Patric Garcia Montoya. Microsoft har en modell, ursprungligen från Gartner, som i fyra nivåer beskriver var olika företag kan befinna sig på vägen mot en mogen it-miljö. De flesta företagen befinner sig någonstans mellan första och andra nivån i Microsofts modell. Hur kan de då införa en standardbaserad mogen it-miljö? Ja, det är egentligen ingen raketvetenskap. Enligt ITIL tar man reda på var man står, vart man vill gå och hur man kommer dit. I en analys motsvarar det nuläge, målbild och vilka aktiviteter som krävs för att nå målet. Först kartläggs nuläget genom en inventering av hela it-miljön, vad som finns och hur allt fungerar och hanteras. Denna kartläggning innefattar såväl teknik som processer, säger Peter Petersen. Falck vinner tid med ITIL WM-data arbetar med ITIL-perspektivet och sådana analyser hos många kunder, bland annat görs benchmark-tester. Falck Security är en kund till WM-data som har kommit långt med att standardisera sin IT-miljö. De arbetar idag med att införa IT Service Management enligt ITIL. I september genomförde Falck en utbildning om hela ITIL och i november valde företaget ut tre ITIL-processer: Incident, Problem och Change. Vi kommer att införa alla processer, men ville inte starta alla på en gång. Därför letade vi reda på processer som kunde snabbas upp och där vi kan vinna mest tid, säger Joakim Pettersson på Falck Security. En manager är utsedd för varje process. Vi gör återkommande avstämningar enligt en handlingsplan av vad som genomförs. För oss är det en kvalitetsstämpel även utåt att använda ITIL och vara certifierade enligt säkerhetsstandarden ISO 27001, menar Joakim Pettersson. Jag har följt Falck Security under tre år och kan verkligen se förbättringar. Enligt våra kalkyler har Falck Security reducerat sin TCO med över 20 %, säger Patric Garcia Montoya. Patric Garcia Montoya, affärskonsult på WM-data Peter Petersen, WM-data 4 nivåer vägen till mogen itmiljö Tacka Margaret Thatchers ilska för ITIL Det började egentligen med Falklandskriget.Margaret Thatcher blev förbannad när hon fick höra att soldaterna längs fram vid fronten inte hade fått mat och proviant.det hade klickat med hur it levererade tjänster utifrån beslutsfattarnas krav. Från en mängd organisationer och företag samlade man in framgångsrika praktiska exempel på it-användning i processer och med betoning på samspelet mellan verksamhetskrav och hur it uppfyllde dem. Idag är ITIL en samling handböcker som täcker en rad processer och är ett ramverk för IT Service Management.Böckerna har en omfattande dokumentation med best cases,scheman,mallar,listor och tips ITIL hjälper företag att: sätta verksamheten i fokus definiera it-tjänster externt/internt standardisera arbetssätt och it-miljö fokusera på kvalitet och kostnad för it få en grund för kontinuerlig förbättring tydliggöra leverantörers krav Mål med ITIL: it ska stödja verksamheten it ska leverera rätt kvalitet it ska leverera tjänster mer kostnadseffektivt minimera dolda kostnader skapa gemensam begreppsterminologi

20 Lägg i en högre växel med Ecoblade-serverteknik PRIMERGY BX630 flexibilitet möter prestanda Växla upp din kraft Med nya PRIMERGY BX630 utökar Fujitsu Siemens Computers sitt Ecoblade-serversortiment med AMD Opteron baserade bladservrar. Den avancerade Ecoblade-tekniken gör att olika processorarkitekturer kan blandas och dela på samma infrastruktur som finns i det gemensamma bladchassit. Dessutom gör integrationen av AMD64-teknik det möjligt för PRIMERGY BX630 att kombinera maximal prestanda med minimal kraftåtgång. Den unika och mycket flexibla designen gör också att en 2-vägsserver enkelt kan uppgraderas till en 4-vägsserver med full funktionalitet. Det ger prestanda i dag och flexibilitet för dina kommande behov. We make sure.