Poniżej załączam krótką informację na temat wykonywanych przeze mnie audytów. Zaznaczam, że nie trzymam się sztywno ustalonego scenariusza, a to ze względu na to, że każda firma jest inna. Nie wszyscy mają stronę na WordPress czy Joomla. Są różne frameworki, które wymagają zróżnicowanego podejścia do tematu. Zapewniam, że jest nad czym się głowić.
Sam audyt, bez względu na to czy jest on z kategorii bezpieczeństwo IT, wdrożenie serwisu WWW lub ocena już istniejącej infrastruktury, jest opracowany najwyżej w zakresie średnio zaawansowanym. A to dlatego, że szczegółowe opracowanie takiego dokumentu zajmuje sporo czasu. Kilka dni a nawet tygodni (bezpieczeństwo informatyczne; zazwyczaj). Niemniej jednak staram się podejść do tematu na tyle wyczerpująco aby był on użyteczny dla odbiorcy i pozwolił na szybkie poprawienie błędów.
Jeśli chodzi o długość raportu / oferty (dokument połączony) to nie mam żadnych konkretów. Czasami są to dane, które mieszczą się na trzech stronach a czasem jest ich kilkanaście. Jak dotąd, najdłuższy raport, który opracowałem dla firmy, zajmował blisko 100 stron.
Sam dokument ma stronę tytułową a na niej zdefiniowany rodzaj dokumentu, datę wystawienia, określenie klauzuli jawności oraz moje dane kontaktowe. Kolejna strona zawiera podstawowe informacje na temat materiału jaki znajduje się w dokumencie oraz krótkie wytyczne jak postępować z raportem. Informacje te są standardowe i dotyczą ważności mojej oferty, terminu naprawienia podatności, sposobu i warunków kontaktu, wstępnej analizy, ewentualnej płatności, poprawek, uwag dodatkowych, bezpieczeństwa oraz prawnych podstaw (dotyczy szukania podatności bezpieczeństwa).
Po co te wszystkie dane? Czasami niektórzy mają dziwne pomysły, więc staram się wyjaśnić już na początku, że nie działam w złej wierze, a jedynie staram się pomóc. Proszę mi wierzyć, że są firmy, które mają świadomość istnienia błędów w swojej infrastrukturze a jednak nic z tym nie robią. Zaznaczam, że w większości przypadków dokument zawiera informacje jak naprawić podatność. A mimo to nic się nie dzieje. Niestety stwarza to zagrożenie między innymi wycieku danych wrażliwych lub przejęcia infrastruktury. Zawsze oferuję pomoc w rozwiązaniu problemu, o ile firma / osoba tego chce i pozwoli mi na to. Wybaczcie, ale wykrycie nieaktualnego i podatnego na atak sklepu internetowego wymaga reakcji.
Jeszcze raz powtórzę! Jeśli w dokumencie jaki przesyłam lub w treści maila nie ma ani słowa o honorarium za wykonaną pracę, to ta praca jest darmowa. Łącznie z pomocą we wdrożeniu nowych rozwiązań.
Audyt / oferta wdrożenia serwisu WWW
Dokument zawiera analizę odnośnie faktycznego stanu serwisu internetowego lub planu jego wdrożenia. Dotyczy to strony WWW, sklepu internetowego, innych rozwiązań np.: CRM, chmura, serwer plików itp. Krótka analiza zawiera informację na temat błędów technicznych nie tylko zastosowanego rozwiązania ale również informacje odnośnie budowania marki (choć nie zawsze).
Poszczególne składowe audytu / oferty to wycena, czas realizacji, opis proponowanego rozwiązania, teksty, zdjęcia, grafiki, początkowe zestawy instalacyjne, szkolenia, administracja, SEO i inne. Powyższe zagadnienia opisuje albo przedstawiam w postaci listy punktowej.
Na szczególne wyjaśnienie zasługuje temat przez niektórych uznawany za najważniejszy, czyli cena. Są dwie możliwości ustalenia ceny. Pierwsza to podanie konkretnej wartości wynagrodzenia. Druga to rozpisanie składowych ceny ostatecznej.
Pierwszy wariant jest prosty bo ustalana jest cena ostateczna. Jest to dobra propozycja dla tych, którzy chcą znać ostateczną cenę. Wadą jest to, że wykonawca będzie starał się zmieścić w wyznaczonych granicach budżetowych, co często prowadzi do pogorszenia jakości serwisu. Sam serwis internetowy jest skomplikowanym rozwiązaniem i składa się ze zbyt wielu kombinacji cenowych abym mógł podać wszystkie jego warianty.
Zobaczmy jak to wygląda w praktyce. Na cenę ostateczną składają się poniższe elementy:
- wynagrodzenie wdrożeniowca (freelancer, agencja kreatywna) czyli prace programistyczne (czasem webmasterskie)
- przygotowanie grafiki (szablon)
- teksty (copywriting)
- zdjęcia, grafiki, materiały video (grafik)
- SEO / SEM (jeśli jest w wytycznych) (pozycjoner)
- dodatkowe dedykowane rozwiązania np. plugin pisany bezpośrednio pod konkretne zastosowanie
- administracja czyli utrzymanie całej infrastruktury
Wszystkie te powyższe składają się na cenę końcową, która może być dość wysoka. Jak napisałem wcześniej, wykonawca będzie chciał się zmieścić w zaakceptowanej przez zleceniodawcę cenie oraz jeszcze na tym zarobić.
Drugi wariant, który zresztą bardziej preferuję, to wyjście od minimalnej ceny i dokładanie nowych elementów. Nie jest to rozwiązanie idealne ale pozwala na poznanie opcji podstawowych i jest akceptowalny bardziej przez mikro firmy i osoby prywatne, które chcą mieć wgląd w każdy szczegół zlecenia i sposobu jego realizacji.
Sami możecie sobie odpowiedzieć na pytanie czy strona internetowa za 400 zł. i ta za 1500 zł, jest taka sama?
Audyt bezpieczeństwa serwisu WWW
Taki audyt ma na celu przeprowadzenie analizy wdrożonego serwisu WWW pod względem podatności bezpieczeństwa IT oraz innych zagrożeń z nim związanych. Czasami nie są to tylko techniczne niuanse. Zdarza się, że logika serwisu jest źle opracowana co może prowadzić do wycieku danych np. klienta składającego zamówienie.
Nie chcę się tutaj rozpisywać na temat technicznych niuansów aby nie ujawniać zakresu i metodyki mojej pracy. Mogę wspomnieć, że podstawą jest sprawdzenie czy serwis ma aktualne skrypty, ilość użytkowników, dodatkowe pluginy (interesujące są w szczególności te pisane na zamówienie), testowanie siły haseł dostępu z zastosowaniem wyselekcjonowanej puli znaków alfanumerycznych. Naprawdę nic szczególnego.
Audyt mieszany
Zawiera informacje z obu wyżej, ale bez szczegółów, z uwagi na to, że odbiorcą jest zazwyczaj osoba nietechniczna i może nie wiedzieć jak należy obchodzić się z takimi informacjami. Wtedy taki audyt jest ograniczony i wyszczególnione są w nim tylko informacje najważniejsze, bez materiału opisowego. Aby firma uzyskała więcej informacji musi się ze mną skontaktować konkretna osoba z firmy.
Dostarczenie audytu do odbiorcy
Jeśli chodzi o moje audyty, to sprawa nie jest łatwa. Pierwszy kłopot, prawie niemożliwy do obejścia, to przesłanie audytu w bezpieczny sposób, tak aby uniemożliwić jego odczytanie osobom postronnym. Zazwyczaj wystarczy sam mail z informacją o tym aby skasować wiadomość i załącznik zaraz po jego pobraniu. Nie mamy jednak pewności do kogo trafi wiadomość, szczególnie jeśli wysyła się wiadomość na adres przeznaczony do pierwszego kontaktu z klientem. Cóż, czasami nie ma innego wyjścia, bo takie osoby nie zawsze podadzą adres do działu technicznego. Czasami też firma nie ma nikogo, kto byłby w stanie rozszyfrować informacje zawarte w moim audycie. Choć staram się pisać bardzo prostym językiem. Wspieram głównie małe i średnie firmy, dlatego zdaję sobie sprawę, że mogą być takie kłopoty. Co innego jeśli wysyłam audyt do konkretnej osoby np. właściciela, kierownika działu.
Sam dokument oraz treść maila powinny być zaszyfrowane. W praktyce nie zawsze mogę iść tą drogą ze względu na podejrzliwość odbiorcy. Choć nie tylko. Większość nie ma szyfrowanej poczty. Ba, nawet nie wie jak to zrobić. Małe firmy mogą nie mieć fachowej opieki informatycznej, przez co są bardziej narażone na podatności.
Szczegółowość dokumentu
Czy moje audyty są bardzo zaawansowane? Niestety nie. Wynika to z ograniczonych zasobów technicznych oraz ograniczonego czasu jaki mogę przeznaczyć na testy. Komercyjny audyt świadczę na zupełnie innych zasadach, do których musi się dostosować zleceniodawca.
Powyższe audyty mają na celu wykrywanie podatności serwisów WWW oraz zawiadamianie ich o znalezionych błędach konfiguracyjnych, sprzętowych i programowych. Tylko tyle; albo aż tyle.