Tag: Bezpieczeństwo aplikacji

Audyt Bezpieczeństwa aplikacji www, mobilnych, testy penetracyjne, BlackBox, WhiteBox, GreyBox, OWASP, Audyt aplikacji webowych, Audyt środowiska serwerowego, Ataki XSS, CSRF, SQL Injection, Man-in The-Middle

Opublikowane w

WAF – Web Application Firewall – zabezpieczenie aplikacji webowych

Nasze sklepy internetowe, strony firmowe, aplikacje typu SaaS (Software as a Service), aplikacje mobilne czy inne są obecnie jeszcze bardziej narażone na ataki takie jak przejęcia dostępów do stron, dostęp do danych umieszczonych w bazach danych czy zablokowaniu możliwości działania danej usługi. Ochronę przed podatnościami i atakami naszych serwisów internetowych mogą zapewnić firewalle typu WAF. Chronią one systemy internetowe szukając podatności w już zidentyfikowanych lukach bezpieczeństwa wykorzystując np. tzw. blackisty i whitelisty monitorując ruch z do aplikacji. często działają zgodnie z regułami dobrych praktyk jak OWASP (Open Web Application Security Project).

Przykładowe ataki, które może wykryć zapora WAF:

  • SQL injection
  • Ataki spamerskie
  • Ataki XSS
  • Ataki na hasła (brut force)
  • Ataki na pliki konfiuguracyjne
  • Wsparcie w atakach DoS i DDoS
  • itd.

Przykładami takich zapór sieciowych chroniących nasze serwisy www są np. Cloudflare, NAXSI (moduł do serwera Nginx), Modsecurity (Modsec, Open Source projekt), WAF on Azure, itd.

Jeśli potrzebujesz wsparcia w obszarze aplikacji webowych, eCommerce i bezpieczeństwa zapraszamy do kontaktu:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 300 zadowolonych klientów
Opublikowane w

Cykl życia oprogramowania – Software Development Life Cycle

Cykl życia oprogramowania (and. Software Development Life Cyckle – SDLC) jest usystematyzowanym podejściem do tworzenia, rozwoju oraz wycofywania danego programowania. Dzięki procesowemu podejściu wspartego przez narzędzia IT zarządzamy zarówno tym oprogramowaniem, podnosimy jakość, zmniejszamy dług technologiczny oraz zwiększamy dojrzałość organizacji wytwarzania oprogramowania.

SDLC może składać się z kilku procesów:

  1. Analiza wstępna – faza inicjalna dla każdego projektu biznesowego czy informatycznego. Określamy potrzeby, wymagania, potencjalne koszty, możliwości, zasoby potrzebne do realizacji czy ryzyka dla danego projektu. Jego potencjalne korzyści biznesowe, ramy czasowe czy opłacalność (ROI).
  2. Analiza szczegółowa, spis wymagań – szczegółowa analiza wymagań odnośnie systemów, ich integracji, kosztów, harmonogramu prac, zwrotów z inwestycji, ryzyk projektowych, itd. Analiza aspektów technologicznych, UX (User Experience), prawnych, bezpieczeństwa czy operacyjnych np. zmiany w procesach Biura Obsługi Klienta (BOK), itd.
  3. Projektowanie oprogramowania – projektowanie architektury systemów, ich integracji, bezpieczeństwa, skalowalności, zasad kodowanie, frameworków czy interfejsu użytkownika (UI – User Interface).
  4. Wytwarzanie oprogramowania (kodowanie) – najdłuższa faza projektu realizowania wg. wybranej metodyki zarządzania projektem np. Scrum. Podczas tej fazy jest tworzony kod aplikacji zgodnie z zasadami i wymaganiami ustalonymi we wcześniejszych fazach np. tworzenie testów jednostkowych czy automatycznych, dokumentacji, itd.
  5. Integracje i testy – testowanie zarówno interfejsów, szybkości działania, wydajności, bezpieczeństwa czy poprawności integracji danych.
  6. Wdrożenie na produkcję – wdrożenie oprogramowania na produkcję zgodnie z wcześniej ustaloną strategią wdrażania np. testy AB na mniejszej ilości klientów, itd. Testowanie poprawności systemu, integracji oraz infrastruktury tele-informatycznej.
  7. Utrzymanie systemów – utrzymanie systemów łącznie z wykrywaniem i łataniem błędów, zwiększonym ruchem czy większą ilością użytkowników. Zmiany w infrastrukturze tele-informatycznej oraz zwiększanie bezpieczeństwa systemu.
  8. Dalszy rozwój systemu – procedura zgłaszania zmian rozwojowych, ich wdrożenie, testowanie i ich wpływa na działanie systemu czy integracji.
  9. Wyłączenie systemów – upgrady systemów, ich archiwizacja, wyłącznie, migracja danych, itd.

Zapraszamy do zapoznania się z naszą ofertą doradztwa technologicznego i audytów aplikacji

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 300 zadowolonych klientów

Opublikowane w

Startupy a kryzysy technologiczne

Startupy to technologia, a technologia wymaga posiadania odpowiednich kompetencji i ciągłego ich rozwijania. Technologia musi być wydajna oraz spełniać oczekiwania klienta. Produkt startupu musi działać, ale tak jak tego sobie życzy klient. Startupy tworzą zarówno aplikacje mobilne, sklepy internetowe, systemy SaaS (Software as a Service), platformy Marketplace, urządzenia IoT czy inne urządzenia hardwarowe. Wszystkie te produkty wymagają wysokiej dojrzałości technologicznej. Wiedza członków startupu czy założycieli (founderów) często koncentruje się na sprzedaży, klientach czy marketingu lub na aspekcie technologicznym. Idealnym połączaniem jest, kiedy zespół założycielski posiadający wszystkie te kompetencje. Oczywiście faza początkowa rozwoju startupu charakteryzuje się posiadaniem małego budżetu, małej ilości czasu na dopracowanie produktu technologicznego oraz braki zasobowe i kompetencyjne. Z tego też powodu kryzysy technologiczne przychodzą szybciej niż nam się wydaje.

Jakie kryzysy technologiczne przechodzą startupy?

Poniżej lista zaobserwowanych kryzysów technologicznych w startupach fazy seed i eary grow:

  • Wydajność aplikacji, sklepu czy platformy SaaS – brak myślenia co będzie za rok, jak zwiększy się liczba danych czy klientów. Wymaga często zmiany infrastruktury lub co trudniejsze architektury systemów – zobacz doradztwo w obszarze wydajności, doradztwo w zakresie cloud, doradztwo w zakresie architektury
  • Hardware – częsty brak budżetu na wersję nr 2 prototypu związaną ze zmianami technologicznymi, potrzebami klientów czy trendami
  • Brak bezpieczeństwa danych i systemów – zobacz doradztwo w obszarze bezpieczeństwa
  • Odejście kluczowej osoby takiej jak CTO czy senior developer
  • Brak dokumentacji systemu utrudniający wdrożenie nowych członków zespołu
  • Brak skutecznego zarządzania projektami czy zmianami np. pseudo agile podejście (Scrum) – zobacz doradztwo w obszarze zarządzania projektami
  • Duży i często niespodziewany przyrost danych Big Data powodujący problemy z bazami danych i aplikacjami – zobacz doradztwo Big Data
  • Użyteczność interfejsu (UX – User Experience, UI – User Interface) – zobacz audyty UX, UI, eCommerce
  • Brak regularnych upgradów wykorzystywanych frameworków powodujących dług technologiczny trudny do naprawy – zobacz doradztwo dług technologiczny
  • Brak przyjętych zasad kodowania, architektury czy testowania
  • Brak API
  • itd.

Zobacz więcej o doradztwie technologicznym dla Startupów

Jeśli potrzebujesz wsparcia technologicznego i procesowego w Twoim startupie, zapraszamy do kontaktu.

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Wydajność w systemach i aplikacjach

Wydajność jest jednym z ważniejszych elementów funkcjonowania systemów, aplikacji czy usług informatycznych. Problemy z wydajnością są odczuwalne od razu, widoczne przez klienta i potrafiące wpłynąć na nasze przychody czy zyski np. poprzez niezrealizowanie umownego poziomu SLA (Service Level Agreement).

Problemy z wydajnością mogą dotyczyć:

  • Niepoprawnie stworzonej aplikacji lub zapytań sql do bazy
  • Ataków na dostępność i wydajność usług (Ataki DoS i DDos – Denial of Service)
  • Niepoprawnych konfiguracji bazy danych
  • Braki w zasobach sprzętowych serwerów czy macierzy
  • Niepoprawne konfiguracje serwerów i ich usług

Najczęstsze problemy spotykany w ostatnim roku związane z systemami i wydajnością:

  • Mało wydajne środowisko serwerowe
  • Brak rozdzielanie serwerów bazodanowych od aplikacyjnych
  • Pojedyncze bazy danych, brak separacji
  • Niewydajne API
  • Niepoprawne konfiguracja baz danych np. mała alokacja pamięci RAM
  • Niezoptymalizowane zapytania do baz danych
  • Brak wykorzystania cachowania
  • Brak wykorzystania narzędzi typu CDN czy Cloud dla aplikacji internetowych
  • Brak wykorzystania modularności czy mikrousług w architekturze platform czy sklepów internetowych
  • Problemy wydajnościowe na poziomie intergacji i wymiany danych pomiędzy sklepami internetowymi a systemami ERP czy WMS.

Zobacz także:

Jeśli potrzebujesz wsparcia w zakresie architektury systemów, poprawy wydajności czy audycie kodu źródłowego zapraszamy do kontaktu.

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Bezpieczeństwo systemów SAP

Systemy ERP firmy SAP podobnie jak inne systemy ERP powinny być odpowiednio zabezpieczone zarówno w obszarze zapewnienia ciągłości biznesowej (Business Continuity Plan) jak i w obszarze ochrony danych. GoTechnologies wspiera organizacje zarówno przy analizie procesów biznesowych, tworzeniu wymagań dla systemów, wyborze dostawców, doradztwie w zakresie architektury wymiany danych pomiędzy systemami, przy analizach przed wdrożeniowych a także na etapie wdrożeniowym jak i późniejszych audytach systemów SAP.

Audyt bezpieczeństwa systemów SAP może zawierać następujące elementy:

Potencjalne moduły przewidziane do audytu SAP: SD, FI, HR, PY

Zobacz naszą ofertę doradztwa technologicznego:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Top zagrożeń cyberbezpieczeństwa

Cyberbezpieczeństwo było a obecnie powinno być kluczowym elementem każdej polityki bezpieczeństwa, strategii utrzymania ciągłości biznesowej, strategii IT czy strategii biznesowej. Nasilenie ataków, wycieków i kradzieży danych w ostatnich okresach przybiera na sile a trendy są wyraźnie wzrostowe. Poniżej kilka zagrożeń, które są top w ostatnim czasie w skali globalnej gospodarki:

Malware

Szkodliwe oprogramowanie Malware jest stosowane przez hackerów do kradzieży danych jak hasła, dane, szyfrowania zasobów np. celem wyłudzenia okupu czy wykorzystania komputerów do ataków DDoS. Obecnie obserwuje się ogromny wzrost infekcji komputerów czy smartphonów.

Ataki DoS, DDoS

Ataki DoS (Denial of Service) i DDoS (Distributed Denial of Services) są skierowane na usługi internetowe czy sieci komputerowe celem ich blokady lub zmniejszenia wydajności i możliwości użycia. Obecnie dzięki Malware i dużej ilości komputerów zombi bardzo popularne i powszechnie wykorzystywane przez hackerów.

Phishing – wyłudzenie danych

Wyłudzenie danych to ogromny globalny trend w przestępczości cybernetycznej. Wyłudzeniu mogą podlegać dane osobowe, numery i hasła do konto i kart kredytowych, dane dostępowe do usług rozrywkowych, dane ubezpieczeń, itd. Najczęściej są to ataki przez email.

Ataki Brute Force

Ataki Brute Force są skierowane zarówno do łamania haseł do stron www celem ich infekowania, łamania haseł do zasobów np. celem ich szyfrowania i wyłudzania okupów jak i innych, itd. Wzrost używania tej techniki przez hackerów jest związany z dostępnością słowników językowych czy specjalistycznych w danych językach online i niską świadomość użytkowników końcowych.

Ataki XSS (Cross-Site-Scripting)

Ataki XSS są skierowane na usługi internetowe podatne na wstrzyknięcia do przeglądarki kodu java script lub innego. Atak taki pozwala na zmianę działania usługi internetowej aby np. wykraść hasła, zablokować usługę, wykasować dane z usługi, zainfekowanie strony www, przejęcie sesji użytkownika (cookies), itd.

Ataki SQL Injection

Ataki SQL Injection w przeciwieństwie do XSS atakują nie aplikacje a jej bazę danych. Atak polega na dodanie złośliwego kodu w zapytaniu do baz danych. Atak pozwala na dostęp do bazy danych a więc na modyfikację danych, ich przejęcie a nawet skasowanie. Szacuje się, że 60% ataków na strony www lub sklepy internetowe wykorzystuje SQL Injection, natomiast 30% ataki XSS.

Zobacz naszą ofertę Doradztwa Strategicznego IT, Strategii IT

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Strategia MultiCloud

Strategia Multicloud jest często wdrażana z powodów dywersyfikacji i uniknięcia uzależnienie do jednego dostawcy (tzw. Vendor Lock). Uzależnienie do może być w obszarze jakości usług, cen czy zakłócenia ciągłości biznesowej (Business Continuity) – awarie, odtwarzanie po awarii (DR – Disaster Recovery), wysoka wydajność (HA – High Availability), itd. Strategia z uwagi na różne zakresy usług dostawców chmur musi uwzględniać wszystkie ich aspekty jak: koszty za storage czy moc obliczeniową, różnorakie platformy czy aplikacje, moduły bezpieczeństwa, itd. Usługi te muszą być wpisane zarówno w politykę bezpieczeństwa jak i architekturę tele-informatyczną firmy.

Oprócz dywersyfikacji, vendor-lockingu częstym powodem dla międzynarodowych firm jest zwiększenie ciągłości biznesowej zarówno w dostępie (np. wydajność) do infrastruktury z dowolnej części świata, jak i jej odporność na awarie i ataki.

Strategia chmurowa jest jednym z elementów Strategii IT wspierającej cele biznesowe. Jest ona zasadna w przypadku rozproszonych globalnie systemów, klientów, pracowników, wysokich parametrów SLA dla usług i systemów oraz dużej dojrzałości organizacji.

Zobacz naszą ofertę doradztwa strategicznego IT

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Audyt Ciągłość Biznesowa (Business Continuity)

GoTechnologies bazując na swoim wieloletnim doświadczeniu w pracy z największymi, średnimi i małymi międzynarodowymi firmami, liderami swoich branż realizuje doradztwo i audyt w zakresie zachowania ciągłości biznesowej (Business Continuity) przedsiębiorstw.

Audyt ciągłości biznesowej składa się z:

  • Analiza corowych i pobocznych procesów, systemów, integracji, zasobów i ich wpływ na ciągłość biznesową.
  • Określenie potencjalnych, realnych zagrożeń mających wpływ na ciągłość biznesową
  • Benchmarking zagrożeń na casach lokalnych, branżowych i światowych
  • Symulacja wystąpienia zagrożeń i ich wpływ na ciągłość biznesową firmy (Stress Test)
  • Rekomendacje eliminacji zagrożeń lub ich zminimalizowanie w obszarze bezpieczeństwa, procesów, systemów, przechowywania danych, zabezpieczeń, redundancji, itd.

Audyt Business Continuity w zależności od klienta może być szybki (tzw. Quick Check) oraz kompleksowy. Proponowaną metodą jest szybki audyt Quick Check pozwalający ocenić poziom dojrzałości w obszarze Ciągłości Biznesowej i dalsze prace nad zdiagnozowanymi i kluczowymi obszarami w dalszych krokach.

W obszarze procesów procesów analizujemy corowe procesy z punktu widzenia biznesu czy reputacji klienta jak procesy handlowe (eCommerce, Retail, Omnichannel), logistyczne i magazynowe, finansowe, HR-owe czy produkcyjne.

W obszarze infrastruktury krytycznej badamy wpływ zagrożeń na systemy (software i hardware), ich wydajność, bezpieczeństwo, zasoby, backupy, możliwości odtworzenia po awarii, itd.

Możliwe zagrożenia mające wpływ na przedsiębiorstwa to: cyberataki zarówno zewnętrzne jak i wewnętrzne (sabotaże), wycieki danych i kradzież danych (reputacja firmy), awarie zasilania, zalanie Data Center, vendor locking (uzależnienie od dostawców), błędy w aplikacjach np. API, ataki typu DoS czy DDoS na platformy eCommerce, pandemia, itd.

Zobacz naszą ofertę:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Ochrona danych – systemy DLP (Data Loss Prevention)

Systemy DLP nazywane z języka angielskiego jako Data Leak lub Data Leakage lub Data Loss Protection lub Prevention chronią firmowe systemy i dane przed wyciekiem (przypadkowym) lub kradzieżą. Systemy DLP zabezpieczają newralgiczne systemy i bazy danych takie jak dane finansowe, dane pracowników, tajemnice handlowe, itd. Są szczególnie używane w firmach, które podlegają regulacją prawnym (np. RODO) czy silnie chroniących swój khow how (tajemnice przedsiębiorstwa).

Systemy DLP mogą być w postacji specjalnych urządzeń (appliance) lub oprogramownaia (software).

Podstawowe funkcjonalności systemów DLP:

  • Zarządzenia zbiorami danych podlegających ochronie, priorytetyzacja, kontrola, dostęp
  • Zarządzanie urządzeniami mobilnymi, portami USB, komputerami
  • Wykrywanie wrażliwych danych w ruchu sieciowym LAN
  • Szyfrowanie danych wrażliwych
  • Blokada zapisu danych wrażliwych na nośnikach zewnętrznych i wewnętrznych

Systemy DLP są jednym z elementów polityki bezpieczeństwa zarówno w ochronie danych danych jak i budowania dojrzałości w ochronie cyberbezpieczeństwa. Jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa swoich systemów i zasobów firmowych zapraszamy do kontaktu.

Zobacz naszą ofertę doradztw procesowo-technologicznego:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów
Opublikowane w

Audyt i Doradztwo technologiczne dla Sklepu Internetowego

Technologiczny audyt sklepu internetowego (B2B, B2C), strony webowej (www) czy platformy SaaS (Software as a Service) jest dopiero wykonywany jak pojawiają się problemy wydajnościowe, problemy z bezpieczeństwem, długiem technologicznym, RODO, zwiększającym się czasem wdrażania zmian na produkcję (time to market), kosztami zmian czy z brakiem chęci programistów do pracy ze starą technologią.

Wybór systemów i platformy eCommerce

Wybór odpowiednich systemów i ich integracje jest kluczowym elementem po analizie procesów eCommerce. Systemy eCommerce i Omnichannel wraz z Retail, Contact Center i Logistyką muszą być ze sobą zintegrowane, gdzie wymiana danych musi być często w czasie rzeczywistym. Nasz biznes eCommerce musi posiadać system ERP (Enterprise Resources Planning), gdzie obsługujemy płatności, rozliczenia, często stocki. Musi posiadać odpowiednio dobrany silnik eCommerce. Są to platformy typu Open Source jak Magento czy Presta Shop, systemy SaaS, gdzie płacimy abonament lub fee od transakcji lub pisane dla nas systemy dedykowane. Do kampanii sprzedażowych i kontaktu z klientem wykorzystamy system CRM (Client Relationship Management) z Marketing Automation. Magazynem możemy zarządzać poprzez systemy WMS (Warehouse management Systems) z opcjami multickingu lub wykorzystać funkcje dropshippingu. Zarządzanie zamówieniami w systemach Omnichannel (eCommerce, Retail, Contact Center) robimy przez systemy OMS (Order Management System), a zarządzanie produktami w systemach klasy PIM (Product Management System).

Wspieramy projekty edukacyjne. M.in. jesteśmy współautorami książek o eCommerce
Wykładamy „Skuteczne Projekty Internetowe” na najlepszych polskich uczelniach np. na „Handlu elektronicznym” Akademii Leona Koźmińskiego

Wydajność sklepu internetowego

Wydajność sklepu internetowego jest kluczowa w sezonie jak i w dniach typu Cyber Monday czy Black Friday. Nasz system powinien być tak przygotowany aby łatwo mógł korzystać z dodatkowych zasobów jak ilość wirtualnych maszyn, przestrzeni dyskowej, baz danych czy przepustowości internetowej. Zwiększone peaki na zasoby są oczywiści dodatkowo kosztowne. Należy tak zaprojektować architekturę systemów np. z wykorzystaniem chmury (cloud) jak Amazon AWS czy Google GCP. Warto wykonać audyt wydajności sklepu internetowego z testami obciążeniowymi, gdzie możemy poznać nasze ograniczenie w postaci ilości równoczesnych użytkowników na naszej platformie. Poznamy także wąskie gardła naszej platformy np. technologia na Frontend, API czy CMS na Backend.

Bezpieczeństwo sklepu internetowego

Bezpieczeństwo sklepu internetowego do aspekty związane z ciągłością biznesową (Business Continuity) i ochroną danych. Dziurawy sklep z długiem technologicznym naraża firmę na ataki internetowe jak DoS (Denial of Service) i przestoje sklepu internetowego jak i na wyciek danych wrażliwych. Oba te aspekty powodują bezpośrednie straty finansowe, utratę reputacji jak i konsekwencje prawne (RODO).

Audyt technologiczny istniejącego sklepu internetowego

Audyt technologiczny sklepu internetowego oprócz audytów eCommerce (UX, UI, ścieżka konwersji, SEO, SEM, itd.) służy ocenie i poprawie problemów występujących w systemie i mających bezpośredni wpływ na przychody (słaba wydajność, błędy na stronie), koszty rozwoju (dług technologiczny, długi time to market nowych funkcjonalności).

UX – User Experience, UI – User interface

Jakość sklepu internetowego to nasze zyski i wizerunek. Sklep powinien mieć dopracowana wartwę graficzną i użyteczną dobrze pasującą do zsegmentowanego klienta. Interfejs powinien być prosty w użytkowaniu i powinien realizować w najprostszy, nierozpraszający sposób cele nasze i naszego klienta.

Zobacz naszą ofertę doradczą:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów