analiza portala safe mode
TRANSCRIPT
Diplomsko delo visokošolskega strokovnega študija Informatika v organizaciji in managementu
ANALIZA UPORABNOSTI SPLETNEGA PORTALA SAFE MODE
Mentorica: doc. dr. Alenka Brezavšček Kandidatka: Barbara Jeras
Kranj, maj 2016
ZAHVALA Moja posebna zahvala velja mentorici, doc. dr. Alenki Brezavšček. Hvala g. Klemnu Zupanu iz podjetja Zupo.Si d.o.o za pomoč pri izdelavi diplomskega dela. Zahvaljujem se tudi lektorici Zdenki Hiti Kalinger, ki je lektorirala mojo diplomsko nalogo.
POVZETEK Cilj diplomske naloge je ugotoviti, ali s pomočjo spletnega portala Safe Mode pripomoremo k dvigu stopnje ozaveščenosti uporabnikov in posledično k boljši informacijski varnosti v podjetjih. V teoretičnem delu so predstavljene osnove s področja spletnih portalov in s področja analize kakovosti programske opreme (ang. Software). Predstavljen je tudi spletni portal Safe Mode ter njegove storitve. V praktičnem delu sledi analiza uporabnosti koncepta Safe Mode, ki je potekala večplastno. Po eni strani smo kritično analizirali samo strukturo portala in njegovo vsebino, po drugi pa pridobili izkušnje obstoječih uporabnikov portala. Z ustreznimi vprašalniki smo ocenili stanje pred in po uporabi storitev spletnega portala Safe Mode. V tem delu se je pokazal tudi njegov dejanski vpliv na varnostno ozaveščenost in posledično na zagotavljanje informacijske varnosti v podjetjih. Kot rezultat dela na koncu podamo tudi predloge za izboljšavo obravnavanega portala.
KLJUČNE BESEDE: – Safe Mode spletni portal, – tehnična analiza, – vsebinska analiza, – analiza uporabnosti,
ABSTRACT The aim of this thesis is to determine whether through a web portal Safe Mode contribute to raising the level of awareness of users and consequently, to improve information security in enterprises. The theoretical part presents the bases in the field of web portals and in the area of quality analysis of software. Featured is a web portal Safe Mode and its services. The practical part is an analysis of the applicability of the concept of Safe Mode, which took place in several layers. On the one hand, we critically analyze the structure of the portal and its content; on the other hand, we try to gain experience of existing users of the portal. The relevant questionnaires in which we tried to assess the situation before and after service of web portal Safe Mode. In this part it was shown its actual impact on security awareness and, consequently, the information security in enterprises. The aim of this thesis is to determine whether web portal Safe Mode contribute to raising the level of awareness of users and, improved information security in enterprises. As a resault we gave suggestions for improvement of Safe Mode web portal.
KEYWORDS: – Safe Mode web portal, – technical analysis, – content analysis, – usefulness analysis.
KAZALO
1 UVOD ........................................................................................................................ 1
1.1 PREDSTAVITEV PROBLEMA ................................................................. 1 1.2 PREDSTAVITEV OKOLJA .................................................................... 1 1.3 METODE DELA ............................................................................. 1
2 TEORETIČNE OSNOVE S PODROČJA SPLETNIH PORTALOV ........................................... 3
2.1 LASTNOSTI SPLETNEGA PORTALA .......................................................... 3 2.2 VRSTE PORTALOV .......................................................................... 4
3 TEORETIČNE OSNOVE S PODROČJA KAKOVOSTI PROGRAMSKE OPREME ..................... 6
3.1 NEKATERI MODELI KAKOVOSTI PROGRAMSKE OPREME ..................................... 6 3.2 UPORABNOST PROGRAMSKE OPREME .................................................... 11 3.2.1 KRITERIJI UPORABNOSTI ................................................................................................... 11 3.2.2 VREDNOTENJE KRITERIJEV UPORABNOSTI ............................................................................ 12 3.2.3 METODE OCENJEVANJA UPORABNOSTI PROGRAMA .............................................................. 14 3.3 TEHNIČNA ANALIZA ..................................................................... 17 3.4 VSEBINSKA ANALIZA ..................................................................... 19 3.5 PRIDOBIVANJE MNENJA UPORABNIKOV .................................................. 19
4 SPLETNI PORTAL SAFE MODE ................................................................................... 21
4.1 NAMEN .................................................................................. 21 4.2 UVRSTITEV SPLETNEGA PORTALA SAFE MODE ........................................... 21 4.3 VSEBINA ................................................................................. 22 4.3.1 OBSTOJEČI PAKETI IN STORITVE PORTALA ............................................................................ 23 4.3.2 PAKETI IN STORITVE V RAZVOJU ......................................................................................... 24 4.4 PRINCIP DELOVANJA ..................................................................... 24 4.4.1 PRVI KORAK: OZAVEŠČANJE 1 ........................................................................................... 24 4.4.2 DRUGI KORAK: PREGLED IN DOKUMENTIRANJE .................................................................... 25 4.4.3 TRETJI KORAK: PRIPRAVA IN SPREJEM OSNOVNIH POLITIK INFORMACIJSKE VARNOSTI .................. 25 4.4.4 ČETRTI KORAK: PREGLED IN DOPOLNITEV DOGOVOROV Z NOTRANJIMI IN ZUNANJIMI IZVAJALCI .... 26 4.4.5 PETI KORAK: MONITORING OMREŽJA IN VARNOSTNA PRIPOROČILA ......................................... 27 4.4.6 ŠESTI KORAK: SOCIALNI INŽENIRING ................................................................................... 27 4.4.7 SEDMI KORAK: OZAVEŠČANJE 2 ......................................................................................... 28 4.4.8 OSMI KORAK: PRIPRAVA SCENARIJEV ZA NEPREKINJENO POSLOVANJE; ..................................... 28 4.4.9 DEVETI KORAK: TEHNIČNO VAROVANJE IN NJEGOVA VLOGA PRI ZAGOTAVLJANJU VARNEGA
POSLOVANJA .............................................................................................................................. 29 4.4.10 DESETI KORAK: OPREDELITEV INFORMACIJSKEGA PREMOŽENJA ORGANIZACIJE IN NAČINOV
VAROVANJA ............................................................................................................................... 30 4.4.11 ENAJSTI KORAK: PRIPOROČILA IN NADZOR INFORMACIJSKEGA POOBLAŠČENCA ........................ 31
4.4.12 DVANAJSTI KORAK: UPRAVLJANJE SPREMEMB V ORGANIZACIJI IN PRESOJA VPLIVOV NA VARNOST
POSLOVANJA .............................................................................................................................. 32
5 KRITIČNA ANALIZA PORTALA SAFE MODE ................................................................ 33
5.1 ANALIZA UPORABNOSTI PORTALA ........................................................ 35 5.2 ENOSTAVNOST UPORABE, UČINKOVITOST IN ZADOVOLJSTVO UPORABNIKOV. ........... 46 5.3 ZADOVOLJSTVO UPORABNIKOV Z OBLIKOVANJEM IN GRAFIKO ........................... 47 5.4 LABORATORIJSKI EKSPERIMENT .......................................................... 48 5.5 ANALIZA PORTALA Z VSEBINSKEGA VIDIKA ............................................... 49 5.6 ANALIZA PORTALA S TEHNIČNEGA VIDIKA ................................................ 50 5.7 SKLEP .................................................................................... 52
6 PREDLOGI ZA IZBOLJŠAVE ........................................................................................ 53
7 ZAKLJUČEK .............................................................................................................. 54
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 1
1 UVOD
1.1 Predstavitev problema
Današnja tehnologija nam omogoča uporabo strojne in programske opreme kadarkoli in kjerkoli, s tem pa tudi dostop do različnih podatkov in programov, ki jih potrebujemo. Zagotovitev informacijske varnosti tako znotraj kot zunaj podjetja je zato danes vse bolj pereč problem. Da bi bili naši podatki resnično varni, moramo upoštevati več kriterijev, kot so zaupnost, celovitost, razpoložljivost in tudi človeka, ki zaradi nezavednih ali zavednih napak lahko povzroči odpoved sistema ter možnost vdora v sistem. Da do odpovedi sistemov ne bi prihajalo, podjetja uvajajo razne ISO standarde in varnostne politike na mnogih področjih ter jih na različne načine predstavljajo svojim zaposlenim. Problem podjetništva in vsakega zaposlenega je prepoznati ter preprečiti nevarnost, odpoved ali ogroženost sistema. Vsak zaposleni mora poznati ISO standard ali varnostno politiko podjetja in se naučiti praktičnega razmišljanja, da lahko pod vodstvom mentorjev prenese svoje teoretično znanje v prakso. Kombinacija teoretičnega znanja in praktičnih izkušenj mu bo omogočila informacijsko varnost znotraj organizacije. Preverjanje znanja in razumevanja varnostnih vprašanj na področju informacijske tehnologije je brez primerno podprte tehnologije zelo drago. V ta namen je podjetje Zupo.Si d. o. o. razvilo spletni portal Safe Mode. Portal je zdaj že nekaj časa v uporabi, zato bi ga bilo potrebno evalvirati tako s tehničnega kot iz vsebinskega vidika in na ta način ugotoviti njegovo realno uporabnost. Če bodo pri portalu ugotovljene pomanjkljivosti, bodo podani predlogi za izboljšavo.
1.2 Predstavitev okolja
Nosilca projekta Safe Mode sta Univerza v Mariboru – Fakulteta za varnostne vede in slovensko podjetje Zupo.Si d. o. o. Podjetje Zupo.Si d. o. o., v katerem je bil spletni portal Safe Mode razvit, se poleg podpore strojni opremi in z Microsoftovim programom ukvarja tudi z varnostno politiko informacijskih sistemov v podjetjih. Tako je za potrebe klientov in za lastne potrebe razvilo produkt Safe Mode. S projektom se ukvarja ekipa, ki je poimenovana po imenu portala, zato je navedena tudi kot vir informacij. Spletni portal Safe Mode je razvit v programskem jeziku PHP (Personal Home Page Tools), za bazo pa uporablja mySQL.
1.3 Metode dela
Pri preučevanju literature so uporabljene metode, ki se nanašajo na iskanje, zbiranje in predvsem študij strokovne literature s področja spletnih portalov, informacijske varnosti ter metode, ki podpirajo analizo in vrednotenje spletnih portalov. Za preučitev portala je bila uporabljena tehnična analiza, ki zajema popis
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 2
standardov, ki so bili uporabljeni, popis funkcij portala, analizo vsebine in sistematično analizo nekaterih korakov oz. storitev portala Safe Mode. Mnenje uporabnikov je bilo pridobljeno s pomočjo ustreznih vprašalnikov. Vsem testnim uporabnikom je bila zagotovljena anonimnost. V vprašalniku smo zbrali podatke o področju dela, starosti ter obliki organizacije, kjer so zaposleni. Za zbiranje informacij o portalu so bili opravljeni razgovori z zaposlenimi v podjetju Zupo.Si d.o.o. Za analizo podatkov so bili uporabljeni ustrezni računalniški programi (Microsoft Word, Internet Explorer, Mozila, MS Visio ter spletni vprašalniki na strani www.surveymonkey.com). Portal smo testirali s pomočjo nalog in scenarijev, ki so bili prilagojeni vsakodnevnim življenjskim situacijam, tako da smo portal čimbolj približali relativno široki ciljni skupini. V tabeli 1 so navedene metodologije, ki so bile uporabljene v raziskavi.
Metoda Cilj metode
Hevristična metoda Pridobiti neodvisna strokovna mnenja. Tehnična analiza.
Laboratorijski eksperimenti Testiranje učinkovitosti delovanja portala.
Anketa Določitev kritičnih točk spletnega portala, oblikovanje portala, ocena posameznih elementov portala, ocena uporabnosti.
Tabela 1: Metodologije, uporabljene v raziskavi
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 3
2 TEORETIČNE OSNOVE S PODROČJA SPLETNIH PORTALOV
Količino podatkov, ki so danes dostopni preko interneta, je nemogoče obvladati, zato nastajajo spletne strani, ki uporabnikom nudijo samo tiste informacije, ki jih zares potrebujejo. Te spletne strani so nastale kot izhodišče in jih imenujemo spletni portali (Spletni portal, 2015). Portal naj bi vseboval skupek spletnih storitev, kot so: iskalnik, e-pošto, povezave do sorodnih spletnih strani ter posamezniku prilagojeno vsebino, lahko pa tudi klepetalnico, sezname članov in možnost brezplačnega snemanja vsebin. Z uporabniškega vidika so portali skupek vsebine, grafičnih elementov, povezav, pomoči, navigacije, iskalnih orodij, imenikov, alarmov, aplikacijskih dodatkov ter vsebine. Večino prilagoditev portala naredi uporabnik sam. Z administratorskega vidika pa je portal le tehnologija, ki ločuje uporabniški vmesnik ter vsebino. S pomočjo uporabniškega vmesnika se posameznikom določajo pravice dostopanja do elementov vsebine portala. Administrator ureja vsebino in s pomočjo avtorizacije določa uporabniku vpogled na portal. Uporabniki so razdeljeni v skupine, ki imajo svojo vlogo oz. interese. Da bi bilo to izvedljivo, moramo poznati interese, delovno okolje ter osebne nastavitve portala.
2.1 Lastnosti spletnega portala
Lastnosti, ki spletni portal ločijo od spletne strani, so (Kaj je spletni portal, 2015):
enotna prijava – avtentikacija ustvari varnostno podlago,
možnost dodajanja vsebin po pripadajočih sklopih,
portal omogoča upravljanje z vsebinami,
portal omogoča iskanje,
portal omogoča komunikacijo v realnem času,
portal mora nuditi mehanizme za povezovanje z obstoječimi aplikacijami podjetja,
dostop do informacijskih virov, nadzor nad dostopom do informacij in storitev različnih nivojev uporabnikov,
spletni portali se spreminjajo na uporabnikovo željo. Te lastnosti so ponazorjene na sliki 1.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 4
Slika 1: Lastnosti portalov
2.2 Vrste portalov
Kot navajata Osojnik in Mišov (2002) spletne portale razdelimo na:
Spletni imeniki, ki so spletne strani, oblikovane kot iskalniki informacij na spletu, predstavljajo vstopno točko za uporabnike. Tu najdejo splošne podatke preko definirane imeniške strukture. Obstajajo brezplačni in plačljivi imeniki.
Običajni spletni portali so spletne strani, prilagojene posameznemu uporabniku. Poznamo tako imenovane horizontalne portale in vertikalne ali industrijske portale.
Horizontalni portali so portali, pri katerih si lahko uporabnik prilagodi dostop in prikaz podatkov glede na svoje želje. Orientirani so v področja širokega interesa. Za dostop do delnih informacij ni nujna avtorizacija. Ta omogoča popolno prilagoditev in popoln dostop do podatkov.
Vertikalni ali industrijski portali so orientirani na specifično skupino uporabnikov glede na njihovo dejavnost. Gre za informiranje oz. izpopolnjevanje uporabnikov na točno določenih področjih, izmenjavo mnenj ter izkušenj. Avtorizacija je možna, vendar so vse informacije uporabniku dostopne tudi brez nje.
Podjetniški ali poslovni portali združujejo informacije znotraj intraneta organizacije in izbrane povezave s podatki zunanjih spletnih strani. Na ta način predstavljajo vstopno točko za vse zaposlene v organizaciji, pa tudi za druge uporabnike, ki jih zanimajo podatki o tej organizaciji. Po vsebini jih delimo na:
B2B – »Business to Business«, namenjen e-poslovanju, transakcijam med podjetji, njihovimi strankami ali dobavitelji, pa tudi za sodelovanje med skupnimi projekti.
B2C – »Business to Customer«, namenjen posredovanju informacij o izdelkih in storitvah, ki so v pomoč pri odločanju pred nakupom.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 5
B2E – »Business to Employee« omogoča dostop do poslovnih informacij, aplikacij, povezovanje med zaposlenimi in boljše poslovno odločanje.
B2G – »Business to Goverment«, namenjen (na primer) prijavljanju na javna naročila, oddaji napovedi za odmero DDV ali oddaji drugih poročil in evidenc, ki so potrebna za poslovanje z državo.
Po namenu pa portale delimo na:
Portale znanja, ki predstavljajo izhodiščno točko poti do znanja, katerega uporabniki potrebujejo.
Aplikacijske portale, ki so nekakšna točka za dostop do vseh aplikacij, ki jih zaposleni ali uporabnik potrebuje pri svojem delu.
Informacijske portale, ki imajo funkcijo enostavnega prikazovanja informacij v podjetju. Portal je nekakšna vstopna točka z neštetimi povezavami, omrežji, aplikacijami in procesi, kateri so del podjetja. Portal je namenjen delitvi Know How-a v samem podjetju.
Podjetniške portale, ki so namenjeni zaposlenim v podjetju.
Portale za objavljanje, ki so najpogosteje nastali iz spletnih strani, namenjenih informiranju.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 6
3 TEORETIČNE OSNOVE S PODROČJA KAKOVOSTI PROGRAMSKE OPREME
Da lahko definiramo uporabnost programske opreme, moramo najprej vedeti, kako jo definirati. Modele, dejavnike in pristope, ki poudarjajo uporabnost kot del kakovosti programske opreme, opredeljujejo številni strokovnjaki in nekateri standardi. Da lahko govorimo o uporabnosti, moramo najprej določiti koncept kakovosti. Ko ga določimo, je lažje razumeti različne strukture kakovosti. Hoyer in Hoyer (2001) v članku o vprašanju kvalitete povzamata številne pisce, kot so Crosby, Deming, Feigenbaum in Kaoru Ishika ter definirata dva glavna dejavnika, ki govorita o pomenu definicije programske kvalitete:
skladnost s specifikacijo: kakovost je opredeljena kot stvar izdelkov in storitev, katerih merljive značilnosti izpolnjujejo predpisane specifikacije, kar pomeni skladnost z vnaprej določeno specifikacijo;
zadovoljevanje potreb strank: kakovost je opredeljena neodvisno od katerekoli merljive karakteristike in je definirana kot proizvod ali storitev, ki zmore izpolniti pričakovanja kupcev - eksplicitno ali ne.
3.1 Nekateri modeli kakovosti programske opreme
McCall's Quality Model - (McCall, Richards in Walters, 1977) definira tri glavna merila za kategorizacijo kakovostnih atributov programske opreme. Ta merila so:
Pregled produkta – sposobnost spremembe (ang. Product revision - ability to change), kar pomeni:
možnost vzdrževanja,
testiranja in
fleksibilnosti.
Prenosnost produkta – sposobnost prilagodljivosti na novo okolje (ang. Product transition - adaptability to new environments).
prenosnost pomeni, ali ga lahko prenesemo na druge sisteme oz. računalnike,
ali lahko ponovno uporabimo del programske opreme,
združljivost z drugimi sistemi.
Delovanje sistema – osnovne karakteristike operacij (ang. Product operations - basic operational characteristics) kjer preverjamo:
ali software izpolnjuje specifikacijo; torej pravilnost delovanja,
ali funkcionalnost ustreza specifikaciji. Tu se sprašuje, ali je program zanesljiv in ali ves čas deluje pravilno.
Učinkovitost, ki se razdeli še na:
učinkovitost izvajanja (ang. execution efficiency) in
učinkovitost shranjevanja (ang. storage efficiency).
Varnost pred nezaželenim dostopom ter
uporabnost (enostavnost programa).
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 7
V nadaljevanju McCallov model opredeli tri tipe višje kakovostne karakteristike v hierarhiji z dejavniki, merili in meritvami (slika 2):
enajst dejavnikov ki opisujejo programsko opremo z vidika zunanjega uporabnika,
triindvajset meril kakovosti – za izgradnjo s strani razvijalca,
matrike za nadzor, ki so opredeljene in uporabljene, da zagotovijo obseg, ter metode za merjenje.
Merila so med seboj povezana in medsebojno odvisna. Da dosežemo zanesljivost, moramo izpolnjevati merila konsistentnosti, sledljivosti in popolnosti. Medsebojna odvisnost meril doseže tudi negativno mejo (npr. Če želimo doseči visoko varnost, moramo uporabniku omejiti funkcionalnosti).
Slika 2: McCallov model kakovosti
Boehmov kakovostni model (Boehm in drugi 1976, 1978) je eden izmed ustanovnih predhodnikov današnjih modelov kakovosti. Boehm obravnava pomanjkljivosti modelov, ki samodejno kvantitativno ovrednotijo kakovost programske opreme. Model je podoben McCallovemu, ker podobno kot McCall predstavlja hierarhični model kakovosti na več nivojih. Višji nivo predstavlja tri vprašanja, na katera mora kupec oz. uporabnik programske opreme dobiti odgovore:
kako dobro (enostavno, zanesljivo, učinkovito) lahko uporabimo program, kot pripomoček takšen, kot je?
vzdrževanje: ali ga je enostavno razumeti, prilagoditi in testirati?
prenosljivost: ali ga še vedno lahko uporabimo, če spremenimo okolje?
Vmesni nivo karakteristik ponazarja sedem kakovostnih dejavnikov, ki skupaj predstavljajo pričakovano kakovost programskega sistema. Ti dejavniki so:
prenosljivost,
zanesljivost - pričakuje se, da zadovoljivo opravlja svoje predvidene funkcije,
učinkovitost – ali program izpolnjuje svoj namen brez potrate dodatnih sredstev,
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 8
uporabnost (takšen kot je) – program ima tako značilno uporabnost, da je učinkovit ter zanesljiv,
testiranost (vzdrževanje),
razumljivost – programska koda mora biti pregledna, razumljiva za vsakogar, ki jo pregleduje.
prilagodljivost, fleksibilnost. Razlika med McCallovim in Boehmovim modelom je, da McCall namenja pozornost višjemu nivoju karakteristik, Boehm pa razširi stopnjo karakteristik in se bolj posveti primarnemu vzdrževanju. Za ocenjevanje kakovosti se uporabljajo tudi nekateri ISO standardi. V nadaljevanju bomo opredelili dva, ki sta pomembnejša. Mednarodni standard za ocenjevanje kakovosti in uporabnosti programske opreme ISO/IEC 9126, ki je bil nadomeščen s standardom ISO/IEC 25010:2011. Standard ISO/IEC 25010:2011 vključuje enake karakteristike kot ISO/IEC 9126 z nekaterimi spremembami v dodanih ali preimenovanih karakteristikah. Obseg modelov kakovosti vključuje računalniške sisteme in kakovost uporabe z vidika sistema. Spremembe, ki so bile narejene na standardih, so razvidne na slikah 3 in 4.
Slika 3: ISO/IEC 9126 – Karakteristike kakovosti programske opreme (ISO)
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 9
Slika 4: Karakteristike kakovosti sotvarja standarda ISO/IEC 25010:2011 (ISO)
Standard ISO/IEC 9126 (Software engineering — Product quality) temelji na McCallovem in Boehmovem modelu. Poleg podobne strukture vključuje tudi funkcionalnost kot parameter uporabe za zunanjo in notranjo kakovostno karakteristiko programske opreme.
Standard je razdeljen na štiri dele (International Organization for Standardization, 2015):
kvalitetni model (ang. quality model),
zunanje merjenje (ang. external metrics),
notranje merjenje (ang. internal metrics),
kakovost v uporabi meril (ang. quality in use metrics). Vsak kakovostni dejavnik ali faktor in njegov podfaktor je predstavljen, kot sledi (International Organization for Standardization, 2015):
Funkcionalnost (ang. Functionality) - skupek lastnosti, ki se nanašajo na nabor funkcij in njihovih določenih lastnosti. Funkcije so tiste, ki izpolnjujejo izrecne ali nakazane potrebe. Lastnosti so:
Primernost (ang. Suitability) - lastnost programske opreme, ki se nanaša na prisotnost in primernost nabora funkcij za določene naloge.
Natančnost (ang. Accuracy) - lastnosti programske opreme, ki temeljijo na zagotavljanju pravih ali dogovorjenih rezultatov ali učinkov.
Operativnost (ang. Interoperability) - lastnosti programske opreme, ki se nanašajo na njegovo sposobnost, da komunicirajo z določenimi sistemi.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 10
Varnost (ang. Security) - lastnosti programske opreme se nanašajo na sposobnost, da se prepreči naključno ali namerno nepooblaščeno dostopanje do programov in podatkov.
Funkcionalna skladnost (ang. Functionality Compliance) - tisti parametri programske opreme, ki omogočajo programski opremi, da se upošteva standarde aplikacij, povezanih z dogovori ali s predpisi in z zakoni.
Zanesljivost (ang. Reliability) - nabor parametrov, ki se nanašajo na sposobnost opreme, da ohrani raven zmogljivosti pod navedenimi pogoji za določeno časovno obdobje.
Zrelost (ang. Maturity) - parametri programske opreme, ki se nanašajo na frekvenco odpovedi in napake v programski opremi.
Toleranca napak (ang. Fault Tolerance) - parametri programske opreme, ki se nanašajo na sposobnost, da ohrani določeno raven zmogljivosti, v primeru programskih napak ali kršitev določenega vmesnika.
Obnovljivost (ang. Recoverability) parametri, ki se nanašajo na obnovljivost.
Zanesljivost skladnosti (ang. Reliability Compliance).
Uporabnost (ang. Usability) - nabor parametrov, ki se nanašajo na napor, potreben za uporabo, in na posamezno oceno uporabe.
Razumljivost (ang. Understandability) - prametri programske opreme, ki se nanašajo na napor uporabnikov za prepoznavanje logičnega koncepta in na njegovo uporabnost.
Učljivost (ang. Learnability) - parametri programske opreme, ki se nanašajo na napor uporabnikov za učenje njegove uporabe (nadzor delovanja, vhod, izhod).
Operativnost (ang. Operability) - parametri programske opreme, ki se nanašajo na napor uporabnikov za delovanje in delovanje nadzora.
Privlačnost (ang. Attractiveness).
Skladnost (ang. Usability Compliance) - parametri programske opreme, ki zagotavljajo, da programska oprema upošteva standarde aplikacij.
Učinkovitost (ang. Efficiency) - nabor atributov, ki se nanašajo na razmerje med ravnjo izvajanja programske opreme in višino sredstev, ki se uporabljajo skladno z navedenimi pogoji.
Časovno obnašanje (ang. Time Behaviour) - atributi programske opreme, ki se nanašajo na odzivanje in časovne obdelave in o stopnjah prepustnosti pri opravljanju svoje funkcije.
Viri (ang. Resource Utilization) - atributi programske opreme, ki se nanašajo na višino sredstev, ki se uporabljajo, in trajanje take uporabe pri opravljanju svoje funkcije.
Učinkovitost in skladnost (ang. Efficiency Compliance).
Vzdrževanost (ang. Maintainability) - nabor atributov, ki se nanašajo na trud, potreben za izvedbo določenih sprememb.
Analiziranost (ang. Analyzability) - atributi programske opreme, ki se nanašajo na napor, potreben za diagnozo pomanjkljivosti ali vzrokov napak ali za identifikacijo delov, ki jih je treba spremeniti.
Spremenljivost (ang. Changeability) - atributi programske opreme, ki se nanašajo na napor, potreben za spremembo, odpravo napak ali sprememb v okolju.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 11
Stabilnost (ang. Stability) - atributi programske opreme, ki se nanašajo na tveganje nepričakovanih vplivov sprememb.
Testnost (ang. Testability) - atributi programske opreme, ki se nanašajo na napor, potreben za potrjevanje spremenjene programske opreme.
Vzdrževanost (ang. Maintainability Compliance) se nanaša na enostavnost vzdrževanja, v namen odprave pomanjkljivosti, nepričakovanih okvar itd.
Prenosljivost (ang. Portability) - nabor atributov, ki se nanašajo na sposobnost programske opreme, ki se prenašajo iz enega okolja v drugega.
Prilagodljivost (ang. Adaptability) - atributi programske opreme, ki se nanašajo na priložnost za njeno prilagoditev različnim določenim okoljem brez uporabe drugih ukrepov ali sredstev, kot so predvideni v ta namen za programsko opremo.
Namestitev (ang. Installability) - atributi programske opreme, ki se nanašajo na napor, potreben za namestitev programske opreme v določenem okolju.
Nadomestljivost (ang. Replaceability) - atributi programske opreme, ki se nanašajo na priložnosti uporabe, namesto druge programske opreme.
Kompatibilnost (ang. Portability Compliance). Dosedanja preučevanja in dognanja raziskovalcev o kakovosti programske opreme nam razkrivajo, da ni mogoče zagotoviti enotnega in merljivega modela kakovosti za vse vrste programske opreme in za vse tipe uporabnikov. Zato so razvijalci programske opreme prisiljeni oblikovati svoje modele kakovosti za lastne specifične potrebe.
3.2 Uporabnost programske opreme
3.2.1 Kriteriji uporabnosti
Uporabnost programa je v vseh treh opisanih modelih le ena izmed karakteristik, ki definirajo kakovost programa oz. programske opreme. ISO definira uporabnost kot obseg produkta, do katerega ga uporabnik lahko uporablja z namenom dosege cilja z učinkovitostjo in zadovoljstvom. Uporabnost se nanaša tudi na metode za izboljševanje enostavnosti uporabe med oblikovanjem programa. Svetovalec uporabnosti Jakob Nielsen in profesor računalniških znanosti Ben Shneiderman sta v okviru sprejemljivosti opisala uporabnost kot del uporabe, ki je sestavljena iz (Nielsen, 2012):
učljivosti (ang. Learnability): kako enostavno se je naučiti osnovna opravila pri prvi uporabi programa.
učinkovitosti (ang. Efficiency): kako hitro uporabniki opravijo nalogo po spoznanju s programom.
zapomljivosti (ang. Memorability): uporaba programa po spominu po daljšem premoru.
napak (ang. Errors): Ne glede na to, katero metodo testiranja izberemo, dobimo seznam problemov oz. napak. Napake, ki jih odkrijemo, niso enako težavne. Težavnost problema opredeljujemo ob pomoči strokovnjakov s področja uporabnosti. Ti uporabnostne probleme rangirajo. Priporočljivo je, da uporabimo večje število specialistov, ker ti različno dojemajo pomen določenih problemov. Običajno vseh problemov ni možno odpraviti. Glavni vzrok za to so omejeni viri.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 12
zadovoljstva (ang. Satisfaction): kako prijetno je uporabljati program glede na obliko (ang. Design).
Poleg tega, da je uporabnost zgolj lastnost uporabniškega vmesnika, pogosto spremlja funkcionalnost produkta (opredelitev ISO zgoraj). Ko uporabnik ocenjuje uporabniški vmesnik s karakteristiko uporabnosti, je definicija lahko zelo enostavna. Vsaka komponenta uporabnosti je lahko merjena subjektivno. Pomembno je razlikovati testiranje uporabnosti in uporabnostni inženiring. Uporabnostno testiranje je merjenje enostavnosti uporabe proizvoda. Uporabnostni inženiring pa je raziskava in oblika procesov, ki zagotavlja izdelek z dobro uporabnostjo. Zahteva dobro poznavanje računalniške znanosti, psihologije, produktnega razvoja, temelječega na povratnih informacijah uporabnikov.
3.2.2 Vrednotenje kriterijev uporabnosti
Kriteriji uporabnosti so različno definirani. Lahko so to subjektivna vprašanja o tem, kaj uporabnik meni o uporabnosti, medtem ko so to na drugi strani natančni in poglobljeni opisi postopkov za ocenjevanje določenih meritev in analiz. Kot pravi Nielsen (1993) je uporabnost pri interakciji človek–računalnik večdimenzionalna lastnost programske opreme, ki je povezana z atributi, kot so učljivost, učinkovitost, zapomljivost, napake ter zadovoljstvo (slika 5).
Slika 5: Model atributov uporabnosti (Nielsen, 1993, str. 25)
Sistemi z dobro učljivostjo naredijo boljši vtis ter omogočajo uporabnikom učinkovitejšo uporabo samega programa. Učinkovitost merimo v času in/ali številu potrebnih operacij za dosego cilja. Napake so del vsakega programa. Pri njih merimo, ali programska oprema preprečuje vnos/nastop napak, kako enostavno jih je identificirati in odpraviti. Zapomljivost je optimalna takrat, ko uporabnik za izvedbo naloge ne potrebuje ponovnega učenja ne glede na pretekli čas od njegove zadnje uporabe. Vrednotenje spletnih portalov poteka v dveh fazah:
Prva faza:
vrednotenje kriterijev
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 13
identifikacija segmentov uporabnikov
Druga faza:
Druga faza vrednotenja je opcijska. V njej preverimo, ali funkcije koristnosti ustrezajo okoliščinam, v katerih programska oprema deluje. Te lahko po potrebi tudi prilagodimo obravnavanemu spletnemu portalu ali razmeram.
Poznavanje strategije nastopa podjetja na internetu je pomemben del določanja vrednosti kriterijev. V praksi uporabljajo hibrid vseh treh strategij. V ožjem smislu ločimo tri strategije nastopa na internetu:
strategijo nižanja stroškov
strategijo večanja prometa
strategijo gradnje blagovne znamke
Cilji, ki jih želi lastnik spletnega portala doseči, izhajajo iz strategije. Ti cilji morajo biti jasno definirani. Poleg ciljev lastnika moramo upoštevati tudi cilje uporabnikov. Nekateri cilji so skupni vsem uporabnikom spletnih portalov. Pri univerzalnem principu uporabniki potrebujejo uporabne proizvode (Garrett, 2003, stran 50). Uporabnost spletnih portalov ni dober cilj. Le ti morajo biti taki, da jih lahko jasno merimo. Za določanje ciljev uporabnikov je ključnega pomena njihova segmentacija. Različni segmenti uporabnikov imajo različne cilje. Ugotoviti moramo njihove edinstvene potrebe in načine, kako lahko spletni portal te potrebe zadovolji. Cilji so včasih konfliktni, saj uporabnikovi cilji nasprotujejo ciljem lastnika. S poslovnega vidika je zato smiselno zbrati čim bogatejše podatke o uporabniku. Prav tako si lahko nasprotujejo cilji posameznih segmentov ali cilji posameznih skupin, ki delujejo na strani lastnika. Stran mora ustrezno uravnotežiti želje in potrebe posameznika s poslovnimi potrebami. Na ta način nato dobimo cilje, ki jih mora spletni portal izpolnjevati. Kriterije torej vrednotimo relativno glede na zastavljene cilje. Za vrednotenje kriterijev lahko uporabimo tudi več metod hkrati. S tem pripomoremo h kakovosti rezultata. Vsi osnovni kriteriji lahko zajamejo različne vrednosti, kot so opisne (zelo nizka, povprečna ali zelo visoka) ali številske. Pri vseh je zaloga vrednosti naraščajoča. Izjemi sta le kriterija dostopnost (informacij zunaj spletnega portala) in prisotnost napak, pri katerih je zaloga vrednosti padajoča (nizka dostopnost informacij pomeni boljšo oceno, enako velja za nizko prisotnost napak). Posamezni kriterij je možno za posamezni spletni portal različno ovrednotiti. Pri vrednotenju kriterijev lahko sodelujejo različni strokovnjaki (npr. strokovnjak za uporabnost, strokovnjak za trženje, oblikovalci, programerji, strokovnjak za domeno) in uporabniki. Prisotnost strokovnjakov, uporabnikov in števila le teh je odvisna od zahtevnosti analize, zahtevnosti metod in obsega portala.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 14
3.2.3 Metode ocenjevanja uporabnosti programa
Vrednotenje in izbira metod Analitik ima na voljo številne metode. Vprašanje je, kako vrednotiti in izbrati posamezno metodo za ocenjevanje uporabnosti. Potrebno jo je vrednotiti s pomočjo različnih kriterijev. Z vidika praktičnosti izvedbe vrednotenja spletnih portalov ima izbira ustrezne metode pomembno vlogo. Na izbiro metode pomembno vplivajo tudi pogoji, v katerih je uporabljen. Ne glede na izbrano metodo je potrebno pripraviti natančen načrt izvajanja metode. Metode preverjanja Če razvrstimo metode preverjanja v okviru razvoja programske opreme po Holzingerju (2005), dobimo tri glavne skupine:
metode preverjanja vključujejo sodelovanje sodobnih ekspertov s področja uporabnosti ter razvijalce programskih rešitev,
metode testiranja,
metode ocenjevanja z zajemanjem informacij, ki vključujejo prisotnost tako končnih uporabnikov kot administratorje testiranj, opazovalce, ocenjevalce in koordinatorje. Pri omenjenih metodah se uporabljajo tehnike opravljanja v vnaprej pripravljenih nalogah, opazovanja uporabnikov pri njihovem delu ter zbiranja podatkov in mnenj s pomočjo intervjujev, diskusij in vprašalnikov.
Vse tri skupine so kategorizirane na podlagi potreb po prisotnosti končnih uporabnikov in po načinu zajema podatkov. Metode preverjanja uporabnosti lahko kategoriziramo na različne načine. Glede na to, kako zbiramo podatke, jih lahko razvrstimo na zbiranje mnenj uporabnikov, hevristični pristop, tehnično analizo, hibride in laboratorijski eksperiment (Kragelj, 2002). Razdelijo se tudi glede na čas, potreben za izvedbo, stroške ter kompleksnost izvedbe. Kot je razvidno iz tabele 2, nekatere metode izvajajo eksperti, druge uporabniki. Metoda Tip Stanje
aplikacije Opis Prednosti Slabosti
Protokol glasnega razmišljanja
Testiranje Dizajn, kodiranje, testiranje in uporaba
Uporabniki ob upravljanju določene naloge izražajo svoje misli (komentirajo svoje ravnanje) o programu med izvajanjem testiranja.
Omogoča boljše razumevanje uporabnikovih dejanj, olajša odkrivanje napak in omogoča testiranje predpostavk.
Izsledki so kvalitativne narave, analiza je zahtevna in dolgotrajna. Časovno merjenje ni primerno.
Test uporabnosti preko
Testiranje Dizajn, kodiranje, testiranje
Ocenjevalec ne opazuje osebe, ki testira,
Vključujejo: učinkovitost, uspešnost in zadovoljstvo.
Dodatni programi so potrebni, da
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 15
oddaljenega dostopa
in uporaba
dogajanje je lahko posneto.
To so tri vprašanja, ki so del uporabnosti.
opazujemo uporabnike.
Fokusne skupine
Poizvedovanje Testiranje in uporaba
Moderatorji vodijo diskusijo s skupino uporabnikov aplikacije.
Če je narejeno pred prototipi, lahko prihrani denar.
Uporabniku okolje ni naravno in lahko pride do netočnih rezultatov.
Veliko uporabnih idej od samih uporabnikov
Pridobljeni podatki nimajo prave vrednosti, saj so nestrukturirani.
Lahko izboljša odnose s strankami.
Intervjuji/ vprašalniki
Dnevniki uporabe, vprašalnik za zadovoljstvo z interakcijo, vprašalnik za uporabnost –skladišče mer uporabnosti programske opreme
Dizajn, kodiranje, testiranje in uporaba
Uporabniki so spraševani/ intervjuvani o njihovi izkušnji in pričakovanjih. Vprašalnik ne potrebuje neposrednega stika z udeležencem, kot je to potrebno pri intervjuju.
Najmanj 50 udeležencev/ intervjuvancev.
Subjektivne ocene uporabnosti podajo globalno oceno uporabnosti (učinkovitost, všečnost, učljivost …).
Sprehod skozi aplikacijo
Pregled Dizajn, kodiranje, testiranje in uporaba
Skupina ocenjevalcev se sprehodi skozi aplikacijo in diskutira o uporabnostnih težavah z uporabo prototipa. Vprašanje je, ali uporabnik lahko reši nalogo s pomočjo razmisleka. Uporabljajo se scenariji.
Dobro za izboljšanje rezultatov
Ne vključuje zadovoljstva uporabnika ali učinkovitosti.
Omogoča raziskovanje intuitivnosti aplikacije.
Dizajner se morda ne bo obnašal kot običajen uporabnik.
Hevristična metoda in vrednotenje
Dizajn, test funkcij,
Eksperti s področja domene ali/in
Analizirajo vmesnik in ga ovrednotijo skladno z
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 16
domena ...
eksperti v uporabnosti
uporabnostnimi načeli. Vrednotenje pomaga odkriti zahtevne uporabnostne težave. Vključuje strokovni pregled, voden seznam in sprehod skozi portal.
Metoda merjenja učinkovitosti
Testiranje z uporabniki
Iščemo kvantitativne, objektivne mere uspešnosti. Merimo lahko trajanje reševanja naloge, zadrževanje na posamezni spletni strani, število narejenih napak ipd.
Psihofizične metode
Zadovoljstvo uporabnikov
Testiranje z uporabniki
Objektivno lahko kriterij vrednotimo z uporabo psihofizičnih mer, kot so EEG, razširjenost zenic, srčni utrip, prevodnost kože, pritisk, nivo adrenalina v krvi.
Uporaba vprašalnikov, merjenje subjektivnega vrednotenja zadovoljstva, problematične ekstremne situacije.
Pluralistični pregled
Pregled Dizajn Skupina uporabnostnih inženirjev in razvijalcev izdelkov ločeno analizira uporabnost aplikacije. Uporabljajo se scenariji.
Primerna takrat, ko uporabnostnih strokovnjakov, ki so poznavalci, npr. domene, ni na voljo.
Ne obravnava vprašanja učinkovitosti.
Večje število uporabnostnih problemov je lahko najdeno
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 17
in rešeno hkrati.
Tabela 2: Genise, Pauline. »Uporabnostna ocena: Metode in tehnike«
Kragelj (2002) je opredelil metodo vodenega seznama kot vnaprej pripravljene modele z navodili, principi in kriteriji za podroben pregled spletnih strani. Modeli se nanašajo na različne stroke, kot so npr. grafična oblika, programiranje, ipd., zato zahtevajo za pripravo strokovnjake s posameznih področij. Metoda ne odkriva nepredvidenih uporabnostnih problemov. Testiranje z uporabniki Kot navaja Lindič (2003) testiranje z uporabniki poteka v več fazah: priprava, uvod, testiranje in skupinska analiza. Pred dejanskim začetkom testiranja je potrebno testiranje izvesti pilotno. Namen pilotnega testiranja je ugotavljanje ustreznosti težavnosti nalog (prezahtevne ali preveč enostavne) in ustreznost uporabljene terminologije. V fazi priprave moramo preveriti delovanje računalnikov in povezav, teste, vprašalnike, pripraviti zaključni intervju ipd. Kakršnekoli tovrstne težave po samem začetku testiranja lahko negativno vplivajo na kakovost rezultatov, saj predstavljajo motnjo. V uvodu vodja testiranja uporabnikom razloži namen testiranja. Ena izmed bistvenih razlik med testiranjem uporabnikov in hevrističnimi metodami je pomoč opazovalca. Pri testiranju uporabnikov opazovalec ne pomaga. To je lahko problematično zlasti v primerih, ko ima uporabnik vprašanja, povezana z domeno. Opazovalec sme odgovarjati samo na vprašanja, povezana z zastavljenimi nalogami. V zadnji fazi vodja testiranja postavi morebitna dodatna vprašanja, če so bile v času testiranja kakršnekoli nejasnosti. Uporabniki v tej fazi tudi izpolnijo vprašalnike, ki testirajo subjektivne občutke. Uporabniki morajo čim bolje predstavljati ciljno skupino.
3.3 Tehnična analiza
Omejitve testiranja programske opreme Veliko je načinov tehnične analize spletnih portalov. Analizo je mogoče narediti tako s pomočjo strokovnjakov kot s pomočjo programske opreme. Pri testiranju oz. analiziranju ne smemo pozabiti nekaterih omejitev (Hudoklin Božič in Rozman, 2004):
da nam testiranje pomaga odkriti napake,
če napak ne najdemo, to ne pomeni, da niso prisotne,
poznavanje programske opreme in tematike, ki jo program avtomatizira, omogoča uporabniku hitrejšo, učinkovito vsebinsko izvedbo testiranja,
testiranje z različno zmogljivo strojno opremo je lahko zelo drago,
za testiranje s programsko opremo moramo biti prepričani, da je orodje sposobno preveriti naš program in da v tem programu ni napak,
človeški faktor je lahko nezanesljiv (nenatančnost, neznanje testerjev, pritiski okolja, premalo časa, namenjenega testiranju …),
odprava napak programa lahko pomeni vnos novih napak in ponovna testiranja celotne programske opreme,
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 18
če testiramo vsebino programske opreme na podlagi programskih specifikacij, te morda niso točne in pravilne (npr. zastarela zakonodaja, naknadne spremembe, katere niso bile zavedene, ali specifikacije, ki iz kakršnegakoli razloga niso bile izvedene).
Kriterije tehnične analize in njihove opise bomo zaradi lažjega pregleda podali v tabeli 3. Kriterij Opis
Preverjanje delovanja
– test funkcij, s katerimi preverjamo njihovo delovanje, – test bremena, ki preverja obnašanje najzahtevnejših spletnih strani na sistemih s slabšo zmogljivostjo, – test obremenitve, ki preverja delovanje v razmerah povečanega obiska, – mejni test, s katerim preverjamo zlasti spletne strani z obrazci, in ugotavljamo občutljivost v ekstremnih situacijah (preveliko število znakov, posebni znaki, neizpolnjena polja ipd.), – testiranje pravilnosti podatkovnega tipa.
Dostopnost spletnega portala – ustrezna sistemska in programska oprema na strani odjemalca , - sposobnost uporabe spletnih portalov (človeški dejavnik).
Pregled konsistentnosti
- iščemo nekonsistentnosti med različnimi spletnimi stranmi v okviru spletne predstavitve.
Pregled upoštevanja standardov
– analiziramo portal s standardi, ki veljajo za ta tip strani oz. informacije in storitve, ki jih spletni portal ponuja. - standardi HTML, CSS
in XML, ki vključujejo prilagoditev strani
slabovidnim, naglušnim in drugim uporabnikom s posebnimi potrebami.
Hitrost delovanja ali odvisnost od hitrosti prenosa
Pri hitrosti ocenjujemo povprečen čas, ki je potreben za prenos in izris strani. Hitrost je pogojena s tremi faktorji: - s pasovno širino povezave, ki jo imajo uporabniki (ta je z vidika lastnika spletnega portala fiksna), - z obsegom oz. velikostjo strani in - s kompleksnostjo strani, ki vpliva zlasti na izpis na zaslonu.
Grafika in oblikovanje Ali so strani pripravljene za določeno ločljivost? Ali je izbrana ločljivost primerna? Kako dobro so barve vidne na zaslonu z 256 barvami?
Uporabljene tehnologije Posebni efekti.
Domena Domena mora biti kratka, zapomljiva, enostavna, brez šumnikov.
URL naslovi (Uniform Resource Locator)
Priporočljivo je, da se URL naslovi ne spreminjajo.
Prisotnost napak (BUG)
Tabela 3: Kriteriji tehnične analize ter njihov opis
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 19
3.4 Vsebinska analiza
Čeh (2009) navaja, da je kakovostna vsebina je tista, ki je:
ažurna,
slovnično pravilna,
razumljiva – mora biti napisana v jeziku, ki je razumljiv ciljnim uporabnikom,
jedrnata, pregledna,
strukturirana – vsebina je zelo pomemben element oblikovanja, saj vsebini oblikovalci in programerji prilagajajo obliko spletnega programa,
verodostojna, zaupanja vredna,
uporabna oz. informativna za uporabnika,
usklajena s strategijo in poslovnimi cilji podjetja.
Vsebino portala in drugih spletnih predstavitev lahko razdelimo glede na:
dejansko vsebino strani oz. portala in
vsebino podpornih strani. Kot je navaja Wodtke (2003) je podporna vsebina tista, ki nam poda informacije o možnosti zaposlitve, informacije o podjetju, kontaktne informacije in navodila. Pogoste napake spletnih strani:
objava enake vsebine kot na reklamnih prospektih,
dolgi nepregledni teksti – branje na zaslonu je napornejše kot na tiskovini, zato jih obiskovalci se dolgih besedil niti ne berejo,
zastarela vsebina bo spletno stran potisnila na dno iskalnika,
neosredotočena spletna stran - ni ciljne skupine itd. Vsebina je najpomembnejši del spletnega portala. Uporabnik ga bo uporabljal le, če bo lahko na preprost in učinkovit način našel podatke, ki jih želi.
3.5 Pridobivanje mnenja uporabnikov
Metode pridobivanja subjektivnega zadovoljstva uporabnikov so:
Vprašalniki:
odprtega tipa (vprašancev ne omejujemo pri odgovorih, odgovarjanje na te tipe je zahtevno, vendar dobimo temeljit pregled nad tematiko);
zaprtega tipa (odgovori so podani, analiza odgovorov je dokaj enostavna, vendar je rezultat lahko izkrivljen, ker je težko predvideti vse možne odgovore);
kombinirani vprašalniki (sestavljeni iz vprašanj odprtega ter zaprtega tipa);
za merjenje zadovoljstva uporabnika z interakcijo (ang. Questionnaire for User interaction Satisfaction – QUIS ) lahko uporabimo vprašalnik, ki je plod razvoja večdisciplinarne skupine raziskovalcev z univerze v Marylandu. Pri razvoju vprašalnika je bil poudarek na veljavnosti ter zanesljivosti ugotovljenih težav.
Številske lestvice, ki so lahko opisne ali grafične;
Dnevniki uporabe (zaprt ali odprt tip vprašalnikov, ki ga uporabljajo pri vsakodnevni uporabi programa);
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 20
Intervjuji, kjer gre za neposreden dialog z uporabnikom, ter so primerni za raziskovalne študije, kadar ne vemo, kakšen rezultat oz. informacije bomo dobili;
Testiranje z uporabniki (testiranje uporabnosti);
Diskusijske skupine (težko je analizirati rezultate, saj so zaradi nemotiviranosti udeležencev lahko izkrivljeni).
Kakovost, subjektivno zadovoljstvo uporabnikov smo ocenili s pomočjo vnaprej pripravljenih vprašalnikov.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 21
4 SPLETNI PORTAL SAFE MODE
4.1 Namen
Podjetje Zupo.Si d. o. o. je razvilo spletni portal Safe Mode z namenom, da bi dvignili raven varnosti in imeli pregled nad nevarnostmi na enem mestu. Da bi izpolnili potrebo po pregledu nad razumevanjem varnostnih politik s strani zaposlenih, s tem pa tudi hitrejše ukrepanje ob incidentih, je podjetje Zupo.Si d. o. o. razvilo spletni portal Safe Mode. Safe Mode uporabniki na omenjenem spletnem portalu dostopajo ali urejajo varnostne politike, novice ter dokumente. Poleg teh spletni portal Safe Mode ponuja različne pakete storitev cikličnega sistema zagotavljanja varnosti, ki temelji na podpori zaposlenih v podjetju Zupo.Si d. o. o. Spletni portal Safe Mode je namenjen stalnemu ozaveščanju zaposlenih v podjetju ter preverjanju razumevanja varnostnih politik (slika 6). Namenjen je strankam, ki želijo celovit pristop k varovanju informacij in vzdrževanju informacijske opreme, hkrati pa tudi tehnično podporo uporabnikom, pravno svetovanje v primeru incidentov in detektivske storitve. Namenjen je torej vsakemu uporabniku, ki ima stik z uporabo informacijske tehnologije tako v mikro in makro podjetjih kot v javnih zavodih in drugih ustanovah.
Slika 6: Preverjanje razumevanja politik z vprašalnikom
4.2 Uvrstitev spletnega portala Safe Mode
Portal uvrščamo med poslovne portale, ker je namenjen strankam in partnerjem. Po vsebini sodi med B2E portale (Business to Employee) za dostop do poslovnih informacij, za boljše poslovno odločanje v kriznih trenutkih. Safe Mode po namenu spada med podjetniške portale, ker je namenjen zaposlenim v podjetjih, posledično se pridobljeno znanje uporablja tudi doma.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 22
4.3 Vsebina
Po prijavi v portal se na levi strani prikaže zavihek z vsebino, ki vsebuje tri področja:
Novice Zavihek vsebuje informacije s področja varnosti in varnostnega kriminala ter informacije za zaščito pred varnostnimi vprašanji,
Pravilniki, pogodbe in politike, ki jih glede na zakupljeni paket ureja porabnik sam ali ekipa Safe Mode,
IT poročila in dokumentacija Sem sodijo poročila ter druga dokumentacija, ki je ni moč opredeliti kot politiko, pravilnik oz. pogodbo. Pri vsakem področju imamo v krogu števec, koliko informacij se nahaja v nekem področju. Pri novi informaciji se krogec obarva rdeče, tako kot je prikazano na sliki 7. Krogec je ponovno črn, ko potrdimo branje nove informacije.
Slika 7: Spletni portal Safe Mode
Ko uporabniki preberejo politiko, morajo (če je tako določeno) opraviti test, ki zagotavlja, da je oseba politiko prebrala in jo razumela. Pri informacijskih tehnoloških (IT ang. Information technology) poročilih in dokumentaciji so naloženi dokumenti, ki so pomembni za uspešno opravljanje dela in predstavljajo bazo znanja informacijsko-komunikacijsko-tehnološke (okr. IKT) infrastrukture v organizaciji. Desna stran je v administratorskem načinu namenjena nastavitvam ter administraciji (podjetij, uporabnikov, politikam, dokumentom, ki ne sodijo med politiko ali k novicam). To stran uporabljajo upravljalci, ki so pooblaščeni za urejanje in dodajanje novih novic oziroma informacij, ki so pomembne za ozaveščanje in izobraževanje zaposlenih. Na desni strani zgoraj je napisano uporabnikovo ime. Ob kliku na ime se prikažejo nastavitve, ki smo jih omenili zgoraj. Prikaže pa se tudi možnost odjave, tako da se vsak uporabnik po končanem raziskovanju po portalu lahko odjavi iz sistema.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 23
4.3.1 Obstoječi paketi in storitve portala
Portal nudi pet različnih paketov, v katere so vključene različne storitve, kot je razvidno s slike 8.
Slika 8: Paketi Safe Mode (vir: Safe Mode portal)
Paket Safe Mode FREE Vključuje Safe Mode novice ter možnost prijave incidenta preko obrazca, vgrajenega v sam sistem, vendar Safe Mode ne bo dolžan prijavljenih incidentov tudi obravnavati. Vključuje tudi brezplačno svetovanje eno uro na leto. Uporabniki nimajo možnosti lastne prilagoditve portala, niti urejanja politik in dokumentov (pogodb, pravilnikov). Nimajo pravice do nekaterih drugih storitev, ki jih ponuja Safe Mode ekipa. Paket Safe Mode LITE Je plačljiva storitev, ki poleg Safe Mode novic ter možnosti prijave incidenta vključuje tudi lastno administracijo uporabnikov, s tem pa tudi možnost lastne administracije varnostnih politik podjetja ter dokumentacije. Vključuje tudi svetovanje. Storitve, ki v tem paketu niso zagotovljene s strani Safe Moda, so obravnava incidentov, priprava politik ter dokumentacije, delavnice oz. predavanja na temo varnosti in cikli za zagotavljanje večje varnosti. Paket Safe Mode STANDARD Paket vključuje vse funkcionalnosti paketa Lite, vendar ekipa Safe Mode sestavi varnostno politiko podjetja, obravnava incidente podjetja ter nudi štiri ure svetovanja na letni ravni. Paket Safe Mode PREMIUM
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 24
Vključuje vse možne storitve, kot so Safe Mode novice, možnost prijave in obravnave incidenta, administracijo uporabnikov, varnostnih politik podjetja, ki jo na podlagi predhodne obravnave stranke in v sodelovanju s stranko pripravi in predstavi uporabnikom preko portala Safe Mode. Prav tako Safe Mode pripravi vso potrebno dokumentacijo. Paket vključuje tudi svetovanje v primeru incidentov na podlagi prava in zakonodaje. Če so potrebne detektivske storitve, nudi tudi te. Safe Mode v tem paketu zagotavlja delavnice oz. predavanja na temo varnosti ter cikle za zagotavljanje večje varnosti. Paket Safe Mode ENTERPRISE Vključuje vse storitve paketa PREMIUM in dodatne storitve prilagoditev po želji stranke.
4.3.2 Paketi in storitve v razvoju
Funkcionalnost, ki še ni dokončno podprta na spletnem portalu, vključuje pa vse pakete, je obravnava incidentov.
4.4 Princip delovanja
Storitve spletnega portala Safe Mode so sestavljene iz dvanajstih ciklov oziroma korakov, ki se izvajajo na treh ravneh: mesečnih, dvomesečnih ali po dogovoru s stranko. Po zaključenih dvanajstih korakih je možno korake nadgraditi po želji stranke. Koraki spletnega portala Safe Mode:
ozaveščanje 1,
pregled in dokumentiranje,
priprava in sprejem osnovnih politik informacijske varnosti,
pregled in dopolnitev dogovorov z notranjimi in zunanjimi izvajalci,
monitoring omrežja in varnostna priporočila,
socialni inženiring,
ozaveščanje 2,
priprava scenarijev za neprekinjeno poslovanje,
tehnično varovanje in njegova vloga pri zagotavljanju varnega poslovanja,
opredelitev informacijskega premoženja organizacije in načinov varovanja,
priporočila in nadzor informacijskega pooblaščenca,
upravljanje sprememb v organizaciji in presoja vplivov na varnost poslovanja.
4.4.1 Prvi korak: Ozaveščanje 1
Na tem nivoju se uporabniki seznanijo s temo kibernetske kriminalitete, da bi z nezavednega nivoja dvignili varovanje podatkov na zavedni nivo in varno ravnanje kar prikazuje slika 9. Ta korak se izvaja s pomočjo delavnice ozaveščanja in portala Safe Mode pod zavihkom novice, in sicer v dveh delih.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 25
Slika 9: Nivoji postopka ozaveščanja uporabnika (vir: Safe Mode portal)
Safe Mode priporoča, da tehnične in organizacijske rešitve delujejo v kombinaciji, saj s tem dosežemo optimalni učinek. Postopek učenja naj bi bil podoben postopku učenja vožnje avtomobila.
4.4.2 Drugi korak: Pregled in dokumentiranje
Safe Mode izvede pregled obstoječega stanja in preverja, ali so uvedeni ukrepi dovolj učinkoviti, da je sistem varen. Odgovor dobimo le, če sistematično nadzorujemo in dokumentiramo preverjanje sistema. Preventivno pregledovanje nam zagotovi dovolj zgodnje rezultate oz. predvidevanja o odpovedi sistema in s tem preprečitev poslovne škode; definiranje varnostnih pomanjkljivosti in vpliva potencialnih nevarnosti na poslovanje organizacije, svetovanje in priporočila za odpravo ugotovljenih varnostnih pomanjkljivosti, skladnost s standardi in stabilnost informacijskega sistema. Določi se nivo varnosti informacijskega sistema. Po potrebi se vpeljejo dodatni varnostni ukrepi. S svetovanjem pristojni za informacijsko telekomunikacijsko tehnologijo v organizacijah pridobijo informacije o trenutnem stanju informacijske infrastrukture in smernice za nadaljnji razvoj. Pri izvedbi se uporabljajo metode, kot so:
izvedba preverjanja ranljivosti,
zbiranje informacij o naročniku s pomočjo javno dostopnih orodij in servisov ter javno poizvedovanje,
izdelava dokumentacije o posameznih odkritih ranljivostih,
skeniranje dogovorjenih segmentov omrežja,
odkrivanje ranljivosti na sistemih.
4.4.3 Tretji korak: Priprava in sprejem osnovnih politik informacijske varnosti
Politike informacijske varnosti opredeljujejo, kaj je v organizaciji dovoljeno, oziroma kaj ni. Ob incidentu lahko na osnovi politik sankcioniramo odgovorne za nezaželeni dogodek. Vse varnostne politike portala Safe Mode imajo zapisano, na koliko časa jih je potrebno pregledovati in v katerih primerih je pregled obvezen. V politikah je določeno tudi, kdo je odgovoren za izvajanje politik. Politike se prilagajajo glede na zahteve podjetja.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 26
V sklopu projekta Safe Mode se kot ključne pripravi naslednje politike: politika neprekinjenega poslovanja, politika fizičnega in tehničnega varovanja, krovna varnostna politika, politika varovanja informacij, politika uporabe medijev za shranjevanje, politika uporabe internetnih storitev, politika uporabe mobilnih naprav, politika uporabe naprav za obdelavo podatkov in politika zaščite gesel. V podrobnejšem opisu navajamo samo nekatere. Krovna varnostna politika Namenov te varnostne politike je več, npr.: formalizirati in dokumentirati varovanje informacij v podjetju, da se ohranijo zaupnost, celovitost in razpoložljivost informacij. Posameznikom (pooblaščene osebe za informacijsko varnost, skrbniki in vodstvo podjetja) se dodelijo ustrezne vloge in odgovornosti, zaposlene pa se obvešča o usmeritvah te politike. Zaposleni so dolžni poročati o odstopanjih, neskladjih ali dogodkih, ki bi lahko vplivali na varnost sistema oz. informacij. Politika neprekinjenega poslovanja Krovno politiko dopolnjuje politika neprekinjenega poslovanja, ki med drugim kot referenčni dokument uporablja ISO 22301:2012 (Standard o neprekinjenem poslovanju). S pomočjo politike neprekinjenega poslovanja organizacija opredeljuje sistematičen pristop za opredelitev najnižje sprejemljive ravni zagotavljanja produktov in storitev v primeru odpovedi sistema. Pripravita se načrt in strategija za doseganje zastavljene ravni. Načrtovano je stalno izboljševanje sistema in prilagajanje glede na spremembe v poslovanju podjetja in tudi izobraževanje zaposlenih glede sprememb. Sistem se tudi preverja in preizkuša. Politika fizičnega varovanja Politika definira in omejuje dostop do varovanih prostorov organizacije, opredeli in definira varovanje predmetov izven organizacije v lasti podjetja. Ukrepi, ki se izvajajo po politiki, so namenjeni za varovanje pred namernim poškodovanjem opreme, tatvino in naravnimi ter drugimi nesrečami. S politiko fizičnega varovanja in z varnostnimi ukrepi lahko preprečimo ali zmanjšamo učinek incidentov in delnih odpovedi, saj z ukrepi vsiljivcem preprečimo dostop do objektov ali v strežniško sobo. Za vstop se morajo avtorizirati in identificirati, npr. z geslom, s ključem, z značko, z magnetno kartico, z biometričnimi odtisi ali s kombinacijo vseh teh elementov, kar imenujemo dvo- ali večfaktorska identifikacija.
4.4.4 Četrti korak: Pregled in dopolnitev dogovorov z notranjimi in zunanjimi izvajalci
V tem koraku pregledamo točke, kot je npr.:
Sporazum o ne razkritju informacij (ang. Non-disclosure agreement - NDA) Pomembno je, kakšen je dogovor oziroma kakšno je sodelovanje z notranjimi in zunanjimi izvajalci za specifične storitve. Ključno je, da z zunanjimi in notranjimi izvajalci podjetje podpiše pogodbo o ne razkritju informacij. S pogodbo se tako poslovni partnerji kot zaposleni v podjetju obvežejo, da ne bodo razkrivali pomembnih informacij. Določijo se tveganja in kazni ob odpovedi sodelovanja partnerjev in zaposlenih.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 27
4.4.5 Peti korak: Monitoring omrežja in varnostna priporočila
Kadar govorimo o varovanju omrežja v nekem podjetju, si varnosti ne moremo predstavljati brez učinkovitega nadzora omrežij. Če je v podjetju majhno število računalnikov, potem podatkov o stanju posameznih delovnih postaj ali strežnika ni težko nadzorovati. V nasprotnem primeru pa z rastjo omrežja raste tudi kompleksnost upravljanja celotne informacijske infrastrukture. Ponekod računalniki ostajajo neposodobljeni, drugod zmanjkuje prostora na katerem izmed diskov. Spet drugje ne deluje kakšen nujno potreben servis. V omrežje lahko dodajamo nove strežnike, nove računalnike, brezžične dostopne točke, tiskalnike, stikala, pametne telefone, tablice in drugo opremo. Vsem je skupna potreba po posodobitvah in vzdrževanju. Upravljalec omrežja mora vedeti, ali je strežniška soba optimalno hlajena, če so sistemski viri na (virtualnih) strežnikih optimalno izkoriščeni, in ne nazadnje, če zakupljena pasovna širina pri ponudniku dostopa do medmrežja še vedno zadostuje potrebam podjetja. Za lažji nadzor omrežja se uporablja specializirana programska oprema.
4.4.6 Šesti korak: Socialni inženiring
Socialni inženiring je ena izmed hujših problematik, kadar govorimo o varovanju informacij. Predstavlja zavajanje zaposlenih za pridobivanje informacij, gesel, uporabniških imen, oziroma drugih koristi s pomočjo psiholoških tehnik manipulacije, zlorabe zaupanja ali pa s kombinacijo le-teh ob uporabi IT tehnologije. Kot navaja Informacijski pooblaščenec (Informacijski pooblaščenec, Socialni inženiring in kako se pred njim ubraniti?, 2015) se ogroženost zmanjša z ukrepi, kot so:
Pravilnik o postopkih in ukrepih za zavarovanje podatkov Pravilnik ureja postopke delovanja zaposlenega in je zasnovan tako, da onemogoča oziroma otežuje delo socialnega inženirja. Že sam obstoj pravilnika zviša previdnost zaposlenih.
Hramba podatkov Kako in kje so podatki shranjeni, mora podjetje natančno določiti. Odsotnost teh določil bi pomenil lažji dostop do njih s strani nepooblaščenih oseb.
Zamenjava gesel Redno menjavanje gesel močno poveča varnost informacijskega sistema. V primeru, da napadalec nekako pridobi geslo in ga zamenjamo, si z njim ne more pomagati. Prav tako se izognemo morebitnemu lepljenju gesel na ekrane, saj se redno menjavajo. Gesel ne smemo posredovati po telefonu. Že samo geslo pa bi moralo biti dovolj zapleteno. Primer neprimernega gesla: 1234, imena svojcev, rojstni datumi.
Nadzor dostopa Določiti je potrebno, kdo ima dostop do določenih podatkov, upravljanja z uporabniškimi računi, ter postopke ustvarjanja in zapiranja uporabniških računov. Vsak zaposleni bi moral imeti svojo identifikacijsko kartico oziroma nekaj, s čimer bi dokazal svojo identiteto in položaj v podjetju.
Fizično varovanje Pomembne prostore je potrebno zavarovati tudi fizično, kontrolirati uporabnike (da imajo dostop v prostor le upravičene osebe) in paziti, da se ključev/kartic za dostop ne pušča na vidnih in lahko dostopnih lokacijah.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 28
Uničevanje dokumentov Dokumente in ostale medije je potrebno ustrezno uničiti in ne odlagati med smeti, saj obstaja nevarnost brskanja po smeteh (ang. dumpster diving).
Prepoved modemov in brezžičnih dostopnih točk Modemi in brezžične dostopne točke predstavljajo problem ter zmanjšujejo/izničujejo učinek požarnega zidu. V primeru, da se vstavljajo, pa morajo biti vstavljeni v skladu z vsemi varnostnimi predpisi.
Osveščanje zaposlenih Najpomembnejši varnostni ukrep je izobraževanje uslužbencev in osveščanje, kaj je socialno inženirstvo. Človek je namreč najšibkejši člen v informacijski varnosti.
Priporočljivo je, da vsake pol leta obnovimo svoje znanje. V koraku socialnega inženiringa se uporabnikom predstavi tehnike in metode socialnega inženiringa.
4.4.7 Sedmi korak: Ozaveščanje 2
Izvedejo se delavnice na teme, ki jih predlaga stranka (slika 10), na primer: grožnje, kraja identitete, phishing, spletna goljufija, vdor, itd.
Slika 10: Postopki ozaveščanja v sedmem koraku
4.4.8 Osmi korak: Priprava scenarijev za neprekinjeno poslovanje;
Pripravi se scenarij za neprekinjeno poslovanje, da je podjetje (bolje) pripravljeno na odziv v primeru kakršnega koli incidenta ali naravne nesreče. Izvede se:
opredelitev tveganj,
analiza vplivov na poslovanje,
strategija za upravljanje neprekinjenega poslovanja,
načrt okrevanja po katastrofi,
disaster recovery test« za izvajalce.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 29
4.4.9 Deveti korak: Tehnično varovanje in njegova vloga pri zagotavljanju varnega poslovanja
Tehnično varovanje se nanaša na pregled obstoječih sistemov za varovanje z varnostnimi sistemi (kontrola pristopa, alarmni sistemi, video nadzorni sistemi, biometrija itd.). Vzdrževanje fizične varnosti je prvi korak varovanja pri zaščiti računalniških in komunikacijskih naprav. Ukrepi za fizično varovanje zmanjšujejo tveganje, da bo prišlo do okvar občutljivih naprav, kot so npr. strežniki. Po pregledu se vodstvu posredujejo predlogi za izboljšave. Predstavimo nekaj tehnik kontrole pristopa: Kontrola pristopa Prepoved pristopa oz. kontrola pristopa do podatkov, računalnikov in mreže je lahko eden izmed prvih ukrepov, ki se ga uvede. Cilj teh ukrepov je varovanje podatkov in zaupnih informacij. Poznamo štiri vidike nadzora dostopa: to so uveljavljanje pravil za varnost pri ročnem delu s podatki, določanje pravice dostopa, uveljavljanje pravice dostopa in šifriranje podatkov. Zanesljivost sistema pristopne kontrole je pogojena z zanesljivostjo identifikacijskega sistema. Za čim večjo zanesljivost delovanja moramo zagotoviti naslednje:
sistem mora delovati tudi v primeru prekinitve določenih komunikacijskih poti med terminali in centralnimi enotami
fizična odpornost kartic in čitalnikov mora biti zagotovljena
oprema mora delovati tudi v primeru izpada električne napetosti Video nadzorni sistem Pri uvedbi video nadzora mora oseba javnega ali zasebnega sektorja o tem objaviti obvestilo, ki mora biti vidno, kot navaja zakonodaja v 74. členu Zakona o varstvu osebnih podatkov-1 (ZVOP-1). Sistem omogoča nadzor nad premoženjem z oddaljene lokacije kadarkoli in kjerkoli pod pogojem količine in kvalitete kamer ter druge opreme. Biometrija Biometrija (Biometrija in samodejno prepoznavanje prstnih odtisov ter njihova uporaba v industriji, 2015) je postopek zbiranja, shranjevanja in proučevanja podatkov o posameznikovih fizičnih lastnostih z namenom avtentikacije (pomeni preverjanje, ali je oseba, za katero se izdaja, res ta oseba) in identifikacije (proces preverjanja osebe na podlagi njenih biometričnih podatkov). Je veda o načinu prepoznave identitete posameznika na podlagi njegovih telesnih, fizioloških ter vedenjskih značilnosti, ki jih imajo vsi posamezniki. Biometrijo uporabljamo za identifikacijo ljudi. Biometrične fizične lastnosti so prepoznavanje glasu, žilni sistem roke in obraza, žilni sistem mrežnice, geometrija prsta, telesni vonj, prepoznava obraza. Med vedenjske lastnosti pa lahko štejemo značilno tipkanje, barvo glasu, statični in dinamični podpis itd. Biometrične značilnosti oz. njihovo zbiranje je določeno v Zakonu o varstvu osebnih podatkov (ZVOP-1). Biometrijo v širšem pogledu lahko uporabimo povsod. Tako sodna medicina biometrijo uporablja za identifikacijo trupel, določanje starševstva, preiskave itd.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 30
Verjetno najpogostejši primer uporabe biometrije pri civilni družbi so osebni dokumenti in vozniški izpit. Alarmni sistemi Vpeljava alarmnega sistema zagotavlja preprečevanje in zaznavanje vlomov ter zunanjih groženj (požar, poplava …) in posledično obveščanje v primeru potrebe po posredovanju.
4.4.10 Deseti korak: Opredelitev informacijskega premoženja organizacije in načinov varovanja
Da lahko podjetje zagotovi zaupnost, celovitost ter razpoložljivost, je ključnega pomena, da naredi popis informacijskega premoženja (slika 11). Za lažjo opredelitev informacijskega premoženja smo za podjetja pripravili predlogo, ki olajša delo (slika 12).
Slika 11: Deseti korak: Opredelitev informacijskega premoženja organizacije in načinov varovanja
Slika 12: Predloga za popis informacijskega premoženja
Za ohranitev informacijskega premoženja je potrebno določiti načine varovanja, zato na tej točki ekipa Safe Mode poda nasvete za ustrezno varovanje.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 31
4.4.11 Enajsti korak: Priporočila in nadzor informacijskega pooblaščenca
Na področju varovanja informacij, predvsem osebnih podatkov, ima zakonodaja jasne predpise. Za podjetja in njihovo pravilno delovanje je pomembno, da jo dobro poznajo, saj se s tem izognejo kršitvam in kasnejšim morebitnim sankcijam. Informacijski pooblaščenec in inšpektorji imajo pravico (Informacijski pooblaščenec, Socialni inženiring in kako se pred njim ubraniti?, 2015):
vstopiti na parcele in zemljišča fizičnih ter pravnih oseb, pregledati prostore, objekte, naprave, delovna sredstva, napeljave, predmete,
blago, snovi, poslovne knjige, pogodbe, listine in druge dokumente ter poslovanje in dokumentacijo državnih organov, gospodarskih družb, zavodov, drugih organizacij ter zasebnikov,
zaslišati stranke in priče v upravnem postopku, pregledati poslovne knjige, pogodbe, listine in druge dokumente ter poslovanje
in dokumentacijo, kadar se vodijo in hranijo na elektronskem mediju, ter zahtevati izdelavo njihove pisne oblike, ki mora verodostojno potrjevati elektronsko obliko,
pregledati listine, s katerimi lahko ugotovi istovetnost oseb, brezplačno vzeti vzorce blaga in opraviti preiskave vzetih vzorcev, brezplačno pridobiti in uporabljati osebne in druge podatke iz uradnih evidenc
ter drugih zbirk podatkov, ki se nanašajo na zavezanca in ki so potrebni za izvedbo inšpekcijskega nadzora,
zaseči predmete, dokumente in vzorce v zavarovanje dokazov, fotografirati ali posneti na drug nosilec vizualnih podatkov osebe, prostore,
objekte, postroje, napeljave in druge predmete, brezplačno vzeti vzorce materialov in opreme za potrebe preiskav, reproducirati listine, avdiovizualne zapise in druge dokumente, opraviti druga dejanja, ki so skladna z namenom inšpekcijskega nadzora.
Pravne in fizične osebe, zoper katere se ne vodi inšpekcijski postopek in ki razpolagajo z morebitnimi dokazi oziroma drugimi podatki, potrebnimi za izvedbo inšpekcijskega nadzora, morajo na zahtevo inšpektorja posredovati dokaze in druge podatke ter omogočiti zaslišanje prič za pridobitev teh dokazov ali drugih podatkov (Zakon o inšpekcijskem nadzoru ZIN-UPB1). Inšpektor ima pravico brez predhodnega obvestila ter brez dovoljenja zavezanca oziroma njegove odgovorne osebe, ne glede na delovni čas, vstopiti v prostore in objekte, na zemljišča in parcele ter k opremi in napravam, če z zakonom ni drugače določeno. Zavezanec lahko inšpektorju, ki nima odločbe pristojnega sodišča, odkloni vstop v stanovanjske prostore. Če zavezanec brez upravičenih razlogov ne dovoli vstopa v prostore ali objekte, kjer se dejavnost opravlja, ima inšpektor pravico vstopiti v prostor mimo volje zavezanca ob pomoči policije. Stroške vstopa in morebitno škodo, ki pri tem neizogibno nastane, nosi zavezanec (Zakon o inšpekcijskem nadzoru, 2015).
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 32
4.4.12 Dvanajsti korak: Upravljanje sprememb v organizaciji in presoja vplivov na varnost poslovanja
Vodilo vsake spremembe je zahteva po njej. Spremembe so lahko tako pozitivne kot negativne, načeloma pa prinašajo izboljšave, torej rast in razvoj. Dejstvo, da se jim ne moremo izogniti, pove, da je samemu procesu upravljanja sprememb potrebno nameniti veliko pozornosti. Nepravilno upravljanje pri vpeljavi sprememb lahko tudi pozitivno naravnano spremembo spreobrne v negativno izkušnjo. Dvanajsti korak v konceptu cikličnih sistemov vzdrževanja informacijske varnosti je upravljanje sprememb v organizaciji in presoja vplivov na varnost poslovanja. Cilj koraka je svetovati podjetjem, kako pravilno vpeljevati spremembe, omogočati nadzor nad njihovo vpeljavo in posledično standardizacijo pri tovrstnem procesu. Koraki vpeljevanja sprememb:
zahtevek,
odobritev managementa, da se postopek za uvedbo sprememb začne,
korak načrtovanja spremembe,
testiranje,
določitev odgovornih oseb, ki bodo skrbele za pravilno vpeljavo sprememb,
terminski razpored dogodkov - faz vpeljevanja sprememb, ki bodo omogočili spremembo,
delavnice za seznanitev zaposlenih s spremembami. Pri večjih spremembah, ki zahtevajo nova znanja, je zaposlene najbolj učinkovito seznaniti s pomočjo delavnic, kot je to zasnovano pri konceptu Safe mode,
izvedba,
dokumentiranje samega procesa,
končna ocena.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 33
5 KRITIČNA ANALIZA PORTALA SAFE MODE
Namen kritične analize je bil ugotoviti, ali s pomočjo storitev spletnega portala Safe Mode pripomoremo k dvigu stopnje ozaveščenosti uporabnikov in posledično k boljši informacijski varnosti v podjetjih. Za analiziranje uporabnosti portala Safe Mode smo uporabili:
spletno anketo dostopno na portalu Surveymonky.com (analiza uporabnikov, vsebine, enostavnosti uporabe ter analizo zadovoljstva uporabnikov);
metodo hevrističnega postopka (za tehnično analizo portala in storitev);
laboratorijski eksperiment (za analizo učinkovitost portala). Anketa je bila tako sestavljena iz več delov. V prvem delu smo zbrali splošne podatke o populaciji uporabnikov. V nadaljevanju drugega dela ankete so bila zastavljena vprašanja, ki so se nanašala na sedem korakov portala Safe Mode. V zadnjem delu smo zbrali mnenja uporabnikov o enostavnosti uporabe, všečnosti in vsebini portala Safe Mode. Anketiranci so bili obstoječi uporabniki portala iz različnih organizacij. Skupno število anketiranih je bilo triindvajset. Populacija uporabnikov Populacijo uporabnikov smo izdelali glede na starost, poklic in obliko podjetja, kjer so zaposleni. Z 52 % je izstopala družba z omejeno odgovornostjo (d. o. o.), s 13 % so sledili samostojni podjetnik, delniška družba in oblike katere niso navedli. Najmanj 9 %je bil zastopan javni sektor, kar je razvidno iz grafa 1.
Graf 1: Struktura vzorca anketiranih uporabnikov glede na njihovo zaposlitev
52%
13%
13%
9%
13%
0% 10% 20% 30% 40% 50% 60%
Družba z omejeno odgovornostjo (d.o.o.)
Samostojni podjetnik (s.p.)
Delniška družba (d.d.)
Ustanova - javni sektor
Drugo
Zaposleni v obliki organizacije
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 34
Kot je razvidno iz grafa 2, sta bila najbolj zastopana delovna mesta, vprašanih informatik in finančnik.
Graf 2: Struktura vzorca anketiranih uporabnikov glede na njihovo delovno mesto
Starostno strukturo anketiranih prikazuje graf 3. Vidimo, da je bilo največ anketiranih starih med 30 in 40 let.
Graf 3: Struktura vzorca anketiranih uporabnikov glede na njihovo starost
4%4%
9%4%
9%4%4%
9%13%13%13%
4%4%
9%
0% 2% 4% 6% 8% 10% 12% 14%
študent
tržnikrevizor
računovodjaraziskovalec
poslovodja (direktor)javni uslužbenec
informatikfinančnik
DRUGObančnikanalitik
administrator
Struktura vzorca anketiranih
13%
43%
30%
9%
4%
0% 10% 20% 30% 40% 50%
20-30
30-40
40-50
50-60
več kot 60
Starost anketiranih
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 35
5.1 Analiza uporabnosti portala
V nadaljevanju smo uporabnikom zastavili vprašanja, ki se nanašajo na korake portala Safe Mode s področja ozaveščenosti (korak 1), dokumentiranja (korak 2), politik (korak 3), pregleda in dopolnitev dogovorov z notranjimi in zunanjimi izvajalci (korak 4), socialnega inženiringa (korak 6), tehničnega varovanja (korak 9) ter informacijskega premoženja (korak 10). Vsa vprašanja iz prvega ter drugega dela so uporabniki izpolnjevali pred in po predstavitvi oziroma po opravljenih storitvah portala Safe Mode. Analiza korakov, vsebine ter tehničnega vidika portala Safe mode: Ozaveščanje1 Pred izvedbo storitev ozaveščanja 1 in o nekaterih nevarnostih, ki pretijo zaradi neinformiranosti o pravilni uporabi sodobne tehnologije, smo uporabnikom zastavili vprašanja s področja splošne varnosti kot je razvidno iz grafa št. 4. Ugotovili smo, da večina (48 %) vprašanih nima programov izobraževanja o grožnjah informacijske varnosti. Posledica tega je, da nevarnosti ne poznajo. 17 % anketiranih nima nameščenega antivirusnega programa. To pa pomeni precejšnje tveganje tako za posameznika kot za organizacijo.
Graf 4: Stanje na področju splošne ozaveščenosti korak 1 - pred vpeljavo koraka
Po izvedbi koraka ozaveščanje 1, kjer smo zaposlenim pojasnili nekatere varnostne ukrepe, se je poznavanje tematike izboljšalo za 33 %. Izboljšal se je tudi odstotek varnostne zaščite opreme ter izvajanja izobraževanj (graf 5).
39%
70%
52%
83%
48%
17%
13%
17%
13%
13%
34%
0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Ali za zaposlene in zunanje sodelavce izvajamoprograme izobraževanja o grožnjah informacijske
tehnologije?
Ali zunanje povezave v vaše omrežje zahtevajoavtorizacijo?
Ali spletna stran podjetja vsebuje vse potrebnezaščite pred vdorom in je redno vzdrževana?
Ali imate na računalnikih nameščen antivirusniprogram?
Ozaveščanje 1
OBČASNO NE DA
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 36
Graf 5: Stanje na področju splošne ozaveščenosti korak 1 - po vpeljavi koraka
Zato ugotavljamo, da so bila izobraževanja ekipe Safe Mode koristna in so pozitivno vplivala na ozaveščenost uporabnikov in njihove opreme za boj proti spletnemu kriminalu.
61%
61%
87%
87%
22%
22%
13%
13%
17%
17%
0%
0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Ali spletna stran podjetja vsebuje vse potrebnezaščite pred vdorom in je redno vzdrževana?
Ali za zaposlene in zunanje sodelavce izvajamoprograme izobraževanja o grožnjah informacijske
tehnologije?
Ali zunanje povezave v vaše omrežje zahtevajoavtorizacijo?
Ali imate na računalnikih nameščen antivirusniprogram?
Ozaveščanje 1
OBČASNO NE DA
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 37
Pregled in dokumentiranje Anketirance smo spraševali o dokumentiranosti postopkov pred in po vpeljavi koraka. Na vprašanja je odgovorilo vseh triindvajset anketiranih. Na grafu 6 so prikazana vprašanja, izjave ter rezultati trditev pred vpeljavo koraka.
Graf 6: Stanje na področju Dokumentiranje postopkov pred vpeljavo koraka »Pregled in dokumentiranje«
Analiza rezultatov pred izvedbo koraka nam je razkrila, da je bilo za dokumentiranje v anketiranih organizacijah razmeroma dobro poskrbljeno. Najboj je bil dokumentiran informacijski sistem. V tem koraku smo pregledali in dokumentirali postopke organizacije. Vodilnim smo podali poročila in priporočila za izboljšave postopkov v primeru incidentov, kontrole pristopa, administracije itd. Po uvedbi koraka se je stanje izboljšalo za 39 %. Kot vzrok lahko navedemo, da so bila priporočila Safe Mode ekipe uspešno izpeljana. Na grafu 7 so prikazana podrobnejša vprašanja in rezultati trditev po vpeljavi koraka.
52%
52%
39%
43%
39%
43%
43%
30%
22%
26%
30%
30%
39%
26%
17%
26%
35%
26%
30%
17%
30%
0% 10% 20% 30% 40% 50% 60%
Postopki navedeni v varnostnih politikah sodokumentirani.
Informacijski sistem je dobro dokumentiran.
Uporabljamo dokumentirane postopke zaodstranjevanje in uničenje informacijskih virov.
Izmenjava informacij in opreme je možna le obpodpisu pogodb o zagotavljanju zaupnosti.
Aktivnosti sistemskih administratorjev sozabeležene v dnevniških datotekah.
Evidentirani so vstopi in izstopi tako zaposlenih kotzunanjih oseb.
Varnostni incidenti so evidentirani in izpisiustrezno obravnavani.
Pregled in dokumentiranje
NE VEM – NE – DA –
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 38
Graf 7: Stanje na področju Dokumentiranje postopkov poslovanja po vpeljavi koraka »Pregled in dokumentiranje«
Priprava in sprejem osnovnih politik informacijske varnosti Pred vpeljavo tretjega koraka smo anketirance spraševali, katere varnostne politike imajo vpeljane. Rezultate ankete smo zabeležili na grafu 8. Razberemo lahko, da so imela podjetja vpeljane nekatere varnostne politike (38 % anketiranih), vendar je še vedno visok delež tistih, ki zanje v podjetju še niso slišali (32 % anketiranih). Največkrat vpeljana politika je bila politika zaščite gesel, sledile so politike uporabe internetnih storitev, neprekinjenega poslovanja ter krovna politika. Rezultati nam kažejo slabo pravno osnovo za varovanje informacij ter slabo ozaveščenost glede politik.
83%
78%
78%
87%
87%
83%
87%
13%
17%
17%
9%
4%
13%
9%
4%
4%
4%
4%
9%
4%
4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Postopki navedeni v varnostnih politikah sodokumentirani.
Informacijski sistem je dobro dokumentiran.
Uporabljamo dokumentirane postopke zaodstranjevanje in uničenje informacijskih virov.
Izmenjava informacij in opreme je možna le obpodpisu pogodb o zagotavljanju zaupnosti.
Aktivnosti sistemskih administratorjev sozabeležene v dnevniških datotekah.
Evidentirani so vstopi in izstopi tako zaposlenih kotzunanjih oseb.
Varnostni incidenti so evidentirani in izpisiustrezno obravnavani.
Pregled in dokumentiranje
NE VEM (3) – NE (2) – DA (1) –
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 39
Graf 8: Stanje na področju: Priprava in sprejem osnovnih politik informacijske varnosti pred vpeljavo koraka
Po pregledu, pripravi in vpeljavi politik zaposlenim, smo podali vprašalnike. Z vprašalniki smo želeli preveriti razumevanje politik. Po izvedbi raziskave se je stanje izboljšalo za 28 % pri tistih, ki so bili prepričani, da so izpolnjevali vse naštete politike. Upadel je odstotek tistih, ki politik niso imeli, vendar le za 7 %. Delež delno vpeljanih politik je narastel za 4 %. Podrobnejše izsledke raziskave smo prikazali na grafu 9.
65%
65%
61%
70%
61%
55%
64%
74%
78%
13%
22%
9%
17%
17%
14%
18%
9%
4%
9%
4%
13%
0%
4%
9%
9%
4%
4%
13%
9%
17%
13%
17%
23%
9%
13%
13%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Krovno politiko.
Politiko fizičnega varovanja.
Politiko neprekinjenega poslovanja.
Politiko uporabe internetnih storitev.
Politiko medijev za shranjevanje.
Politiko mobilnih naprav.
Politiko naprav za obdelavo podatkov.
Politiko upravljanja informacij.
Politiko zaščite gesel.
Priprava in sprejem osnovnih politik informacijske varnosti
DELNO – NE VEM – NE – DA –
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 40
Graf 9: Stanje na področju: Priprava in sprejem osnovnih politik informacijske varnosti po vpeljavi koraka
Notranji in zunanji izvajalci Za četrti korak smo v organizacijah pregledali in dopolnili dogovore z zaposlenimi in zunanjimi izvajalci. Rezultati pregleda so bili slabi, ker organizacije niso imele podpisanih dogovorov o ne razkritju informacij, takšnih je bilo 75 %. Zaposlenim smo podali vprašalnike, ki so razkrili (graf 10), da se v primeru varnostnih incidentov ne poslužujejo varnostnih ukrepov (55 %). Zaposleni niso vedeli, katere informacije so občutljive za razkritje informacije zunanjim osebam (50 %). Varnostnega nadzora nad tretjimi osebami v (60 %) niso izvajali.
22%
35%
35%
39%
39%
43%
43%
48%
43%
17%
17%
26%
30%
17%
4%
17%
22%
26%
39%
39%
35%
26%
30%
43%
26%
26%
22%
22%
9%
4%
4%
13%
9%
13%
4%
9%
0% 10% 20% 30% 40% 50% 60%
Politiko mobilnih naprav.
Politiko naprav za obdelavo podatkov.
Politiko upravljanja informacij.
Politiko fizičnega varovanja.
Politiko medijev za shranjevanje.
Krovno politiko.
Politiko uporabe internetnih storitev.
Politiko zaščite gesel.
Politiko neprekinjenega poslovanja.
Priprava in sprejem osnovnih politik informacijske varnosti
DELNO – NE VEM – NE – DA –
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 41
Graf 10: Stanje na področju notranji in zunanji izvajalci pred vpeljavo koraka
Graf 11 prikazuje stanje po izvedbi cikla. Urejenost na področju politike sodelovanja z zunanjimi izvajalci in varnostni nadzor nad njimi sta se izboljšala za približno 33 %. Ozaveščenost o nerazkritju informacij tretjim osebam se je med zaposlenimi dvignila za 20 %. Posluževanje varnostnih ukrepov se je izboljšalo za 24 %.
Graf 11: Stanje na področju notranji in zunanji izvajalci po vpeljavi koraka
35%
45%
50%
40%
75%
55%
50%
60%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Imamo politiko sodelovanja z zunanjimiizvajalci.
Ali se v primeru varnostnih incidentovposlužujete varnostnih ukrepov?
Ali ste seznanjeni katere informacije soobčutljive za razkritje zunanjim osebam in
katere ne?
Izvajamo varnostni nadzor nad tretjimiosebami
Notranji in zunanji izvajalci
NE – DA –
74%
69%
70%
73%
34%
31%
30%
27%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Imamo politiko sodelovanja z zunanjimiizvajalci.
Ali se v primeru varnostnih incidentovposlužujete varnostnih ukrepov?
Ali ste seznanjeni katere informacije soobčutljive za razkritje zunanjim osebam in
katere ne?
Izvajamo varnostni nadzor nad tretjimiosebami
Notranji in zunanji izvajalci
NE – DA –
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 42
Socialni inženiring Anketiranci so odgovarjali na vprašanja, ki so se nanašala na poznavanje socialnega inženiringa. Kot je prikazano na grafu 12, je raziskava pred izvedbo koraka pokazala, da večina anketiranih ne pozna tematik socialnega inženiringa.
Graf 12: Stanje na področju socialnega inženiringa pred vpeljavo koraka
Zaposlenim v podjetjih smo pojasnili tehnike in na praktičnih primerih pokazali posledice socialnega inženiringa. Anketa po izvedbi cikla je pokazala (graf 13), da se je stanje bistveno spremenilo, večina vprašanih je poznala tehnike socialnega inženiringa 78 %, krajo identitete, etični hacking, ribarjenje (ang. phishing) in pravna sredstva za boj proti socialnemu inženiringu.
Graf 13: Stanje na področju socialnega inženiringa po vpeljavi koraka
30%
30%
57%
30%
48%
70%
70%
43%
70%
52%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Ali poznate tehnike socialnega inženiringa?
Ali poznate pravna sredstva, ki jih lahkouporabite v primeru socialnega inženiringa?
Ali veste kaj je phishing?
Ali poznate etični hacking in njegove vplivena IS organizacije?
Ali poznate tehnike kraje identitete?
Socialni iniženiring
NE DA
78%
74%
83%
74%
78%
22%
26%
17%
26%
22%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Ali poznate tehnike socialnega inženiringa?
Ali poznate pravna sredstva, ki jih lahkouporabite v primeru socialnega…
Ali veste, kaj je phishing?
Ali poznate etični hacking in njegove vplivena IS organizacije?
Ali poznate tehnike kraje identitete?
Socialni iniženiring
NE DA
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 43
Tehnično varovanje in njegova vloga pri zagotavljanju varnega poslovanja Vprašanja so se nanašala na temo tehničnega varovanja v podjetjih. Rezultate raziskave pred vpeljavo postopka tehničnega varovanja, smo prikazali na grafu 14. Pokazali so, da je 49 % delež anketiranih, seznanjenih s tehničnim varovanjem. Zelo visok je tudi delež anketiranih, ki trdi, da tehničnega varovanja v podjetju nimajo. Pri tem ne smemo zanemariti 13 % deleža anketiranih, ki ne ve, ali tehnično varovanje imajo oz. kaj to pomeni. Najšibkejše točke tega sklopa vprašanj so bile na področju izobraženosti, revizijske sledi, testiranja in možnosti identifikacije dostopanja do podatkov.
Graf 14: Stanje na področju tehničnega varovanja in njegova vloga pri zagotavljanju varnega poslovanja pred izvedbo koraka
13%
70%
30%
35%
39%
43%
48%
48%
52%
52%
52%
57%
61%
61%
74%
52%
26%
43%
52%
35%
35%
43%
43%
39%
43%
43%
35%
30%
22%
22%
35%
4%
26%
13%
26%
22%
9%
9%
9%
4%
4%
9%
9%
17%
4%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Če se pri testiranju ali razvoju uporabljate podatkeiz operativnega okolja, z njimi ravnate na enak…
Zaposleni ne morejo nameščati programske alistrojne opreme brez vednosti oseb, ki so…
V primeru razvoja ali testiranja informacijskihrešitev je razvojno in testno okolje medsebojno…
Ustreznost zapisovanja revizijske sledi se rednopregleduje s strani oseb, ki so odgovorne za…
Odpis informacijskih sredstev poteka skladno zdoločbami zakonodaje.
Sistem gesel omogoča tudi možnost naknadnegaugotavljanja, kdaj je bil opravljen posamezen…
Redno nadzorujemo storilnost in zmogljivostinformacijskih sistemov.
Izvajamo izobraževanja ob vpeljavi novihinformacijsko tehničnih rešitev.
Nameščene so kontrole dostopa za preprečevanjene pooblaščenega dostopa.
Uporabniške pravice so skladne z nalogami in deli,ki jih opravlja posamezni zaposleni.
Zasebna in tuja informacijsko-komunikacijskasredstva so pred uporabo in med uporabo…
Dostop do podatkov preko aplikativne programskeopreme se varuje s sistemom gesel za…
Električna in telekomunikacijska napeljava jeizvedena tako, da je ni možno nenamerno…
Izdelujemo varnostne kopije poslovnih podatkov.
V uporabi je oprema za zaščito pred električnimisunki in izpadi električne energije.
Tehnično varovanje in njegova vloga pri zagotavljanju varnega poslovanja
NE VEM – NE – DA –
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 44
Tehnično varovanje se je po izvedbi koraka izboljšalo za 32 %. Zmanjšal se je tudi delež tistih, ki bodisi resnično niso imeli tehničnega varovanja bodisi niso vedeli, ali ga imajo. Najšibkejše točke (uporaba gesel, nameščanje programske opreme, itd.) tega sklopa vprašanj so se znatno izboljšale (graf 15).
Graf 15: Stanje na področju tehničnega varovanja in njegova vloga pri zagotavljanju varnega poslovanja po izvedbi koraka
83%
87%
78%
78%
78%
83%
87%
83%
78%
83%
78%
78%
83%
87%
74%
4%
4%
13%
9%
13%
9%
4%
4%
13%
9%
13%
13%
9%
4%
13%
13%
9%
9%
13%
9%
9%
9%
13%
9%
9%
9%
9%
9%
9%
13%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Če se pri testiranju ali razvoju uporabljate podatkeiz operativnega okolja, z njimi ravnate na enak…
Zaposleni ne morejo nameščati programske alistrojne opreme brez vednosti oseb, ki so…
V primeru razvoja ali testiranja informacijskihrešitev je razvojno in testno okolje medsebojno…
Ustreznost zapisovanja revizijske sledi se rednopregleduje s strani oseb, ki so odgovorne za…
Odpis informacijskih sredstev poteka skladno zdoločbami zakonodaje.
Sistem gesel omogoča tudi možnost naknadnegaugotavljanja, kdaj je bil opravljen posamezen…
Redno nadzorujemo storilnost in zmogljivostinformacijskih sistemov.
Izvajamo izobraževanja ob vpeljavi novihinformacijsko tehničnih rešitev.
Nameščene so kontrole dostopa za preprečevanjene pooblaščenega dostopa.
Uporabniške pravice so skladne z nalogami in deli,ki jih opravlja posamezni zaposleni.
Zasebna in tuja informacijsko-komunikacijskasredstva so pred uporabo in med uporabo…
Dostop do podatkov preko aplikativne programskeopreme se varuje s sistemom gesel za…
Električna in telekomunikacijska napeljava jeizvedena tako, da je ni možno nenamerno…
Izdelujemo varnostne kopije poslovnih podatkov.
V uporabi je oprema za zaščito pred električnimisunki in izpadi električne energije.
Tehnično varovanje in njegova vloga pri zagotavljanju varnega poslovanja
NE VEM NE DA
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 45
Opredelitev informacijskega premoženja organizacije in načinov varovanja Anketirance smo spraševali po virih in sredstvih v organizaciji. Pred vpeljavo cikla popisa sredstev je 45 % (graf 16) vprašanih zagotovilo, da imajo popisana sredstva, da so ti podatki shranjeni v vsaj treh možnih oblikah in da zanje odgovarja odgovorna oseba.
Graf 16: Stanje na področju opredelitve informacijskega premoženja organizacije in načinov varovanja pred izvedbo cikla
Po seznanitvi s korakom opredelitve premoženja, načini varovanja ter s posledicami nepopisanih sredstev se je odstotek popisanega premoženja izboljšal za 18 %, virov pa za 48 % (graf 17).
Graf 17: Stanje na področju opredelitve informacijskega premoženja organizacije in načinov varovanja pred izvedbo koraka
65%
30%
39%
9%
30%
39%
26%
39%
22%
0% 10% 20% 30% 40% 50% 60% 70%
Viri (sredstva) so popisana.
Popis virov (programske, strojne itd.) zajemapodatke v vsaj treh možnih oblikah.
Za vsak vir je zadolžena odgovorna oseba(Zaposleni, katerim so bili dodeljeni prenosninosilci podatkov (USB ključi, prenosni diski in…
Opredelitev informacijskega premoženja organizacije in načinov varovanja
NE VEM – NE – DA –
83%
78%
83%
4%
4%
4%
13%
17%
13%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Viri (sredstva) so popisana.
Popis virov (človeške, programske, strojne itd.)zajema podatke v vsaj treh možnih oblikah.
Za vsak vir je zadolžena odgovorna oseba(Zaposleni, katerim so bili dodeljeni prenosni nosilci
podatkov (USB ključi, prenosni diski in ostali…
Opredelitev informacijskega premoženja organizacije in načinov varovanja
NE VEM – NE – DA –
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 46
Glede na stanje pred in po izvedbi storitev portala Safe Mode smo ugotovili, da se je zavedanje o nevarnostih izboljšalo. Koraki portala so v nekaterih podjetjih pripomogli k izboljšanju sestave in uporabe opreme, namenjene varnosti in nadzoru nad sredstvi.
5.2 Enostavnost uporabe, učinkovitost in zadovoljstvo uporabnikov.
V tem delu ankete smo preučevali učinkovitost, enostavnost uporabe, zadovoljstvo uporabnikov ter težave pri praktični uporabi portala Safe Mode. Poleg omenjenih kriterijev so uporabniki beležili tudi napake, ki so se pojavile ob izpolnjevanju nalog. Anketo je rešilo sedemnajst uporabnikov, reševali so jo enkrat. Pri ocenjevanju kriterija enostavnosti smo uporabnike prosili, da ocenijo enostavnost uporabe portala. Za kriterij učinkovitosti pa hitrost iskanja informacij in dela s portalom. Za namen ocenjevanja učinkovitosti in enostavnosti smo sestavili deset praktičnih nalog, v katerih so uporabniki iskali določeno informacijo ali izvedli določeno nalogo. Nato smo uporabnike prosili naj v petstopenjski opisni lestvici (zelo enostavno, enostavno, povprečno, težko, zelo težko ter drugo) ocenijo težavnost naloge. Mnenje anketiranih smo zabeležili na grafu 18. 27 % anketiranih meni, da je portal enostaven za uporabo, 33 % pa jih je mnenja, da se z njim dela hitro in zelo enostavno.
Graf 18: Učinkovitost ter enostavnost portala.
Pri izvajanju nalog so uporabniki oz. anketiranci so zaznali sledeče pomanjkljivosti:
brezplačna registracija ni bila možna,
težave z administracijo podjetja,
težave z zapiranjem pojavnih sporočil,
težave z dodajanjem uporabnika,
težave z iskanjem informacij o referencah,
25%
27%
19%
12%
17%
33%
28%
13%
7%
18%
0% 5% 10% 15% 20% 25% 30% 35%
Zelo enostavno
Enostavno
Povprečno
Težko
Zelo težko
Enostavnost in učinkovitost
Učinkovitost Enostavnost
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 47
preobsežni seznam opravil in težave z branjem člankov. Da bi ugotovili zadovoljstvo uporabnikov o ponujenih vsebinah, smo jih povprašali, ali so našli iskano. Graf št. 19 prikazuje, da 35 % anketirancev ni našlo informacij, 47 % anketirancev je našlo le nekaj informacij, le 18 % pa je našlo pričakovane informacije. Pri tem je pomembno, da anketiranci niso bili pod časovnim pritiskom.
Graf 19: Iskanje informacij in storitev po portalu
5.3 Zadovoljstvo uporabnikov z oblikovanjem in grafiko
Za razkrivanje zadovoljstva uporabnikov z oblikovanjem oz. z grafiko spletnega portala Safe Mode smo uporabili vprašanja, na katera so imeli anketiranci možnost izbire odgovorov v opisni lestvici. Na vprašanje ali bodo po pregledu oblike portal Safe Mode z veseljem raziskovali, je 35 % anketirancev odgovorilo zmerno ostali anketiranci so se odločili za nekoliko verjetno 29 %, zelo verjetno 24 % in 12 % sploh ne. Podatke za to vprašanje prikazujemo na grafu 20.
Graf 20: Obiskovanje portala glede na obliko
47%
35%
18%
0% 10% 20% 30% 40% 50%
Da, nekaj od tega
Ne, nič od tega
Da, vse
Iskanje informacij
35%
29%
12%
24%
0% 5% 10% 15% 20% 25% 30% 35% 40%
Zmerno
Nekoliko verjetno
Sploh ne
Zelo verjetno
Obiskanost glede na obliko
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 48
Zaposlene smo vprašali tudi ali se jim zdi portal glede na obliko privlačen. 41 % anketirancev meni, da je oblika spletnega portala Safe Mode povprečno privlačna. 29 % pa je delež tistih, ki menijo, da je oblika komaj privlačna. Na to verjetno vpliva dejstvo, da je trg zasičen s ponudbo oblikovno izpopolnjenih strani in portalov, zato so pričakovanja uporabnikov visoka. Vsekakor pa moramo upoštevati namembnost portala, ki se nanaša na varnost in izobraževanje uporabnikov in zato morda ne upošteva zadnjih grafičnih smernic. Na vprašanje, ali se uporabnikom zdi portal enostaven za navigacijo, je več kot polovica uporabnikov odgovorila, da zmerno ali zelo. Rezultati kažejo na to, da se uporabniki »znajdejo« na portalu. Ugotavljamo, da so uporabniki sicer zadovoljni s samim portalom, vendar bi bilo potrebno odpraviti nekatere programske napake, izpostaviti nekatere pomembne informacije, morda razmisliti o posodobitvi oblike portala.
5.4 Laboratorijski eksperiment
Portal smo testirali s pomočjo nalog in scenarijev, ki so bili prilagojeni vsakodnevnim življenjskim situacijam, tako da smo portal čim bolj približali relativno široki ciljni skupini zaposlenih v različnih podjetjih. Pri ocenjevanju in izvedbi eksperimenta je sodelovalo osem uporabnikov, ki so od projekta Safe Mode neodvisni in s povprečnim znanjem iskanja po spletu. Merili smo učinkovitost delovanja ob določenem predznanju portala, s pomočjo vnaprej pripravljenih trinajstih nalog (tabela 4). Le-te so imele odmerjen čas reševanja. Za samo izvedbo smo uporabili tako tablične računalnike, pametne telefone kot prenosnike. Eksperiment smo izvedli v okolju, ki ni imel motečih zunanjih dejavnikov.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 49
Naloga/ udeleženec 1 2 3 4 5 6 7 8
Naloga 1 √ √ √ √ √ √ √ x
Naloga 2 √ x √ √ √ √ √ x
Naloga 3 √ √ √ √ √ √ √ √
Naloga 4 √ Prepozno Prepozno √ Pomoč √ √ Pomoč
Naloga 5 x x x x Prepozno Pomoč Prepozno Pomoč
Naloga 6 √ √ √ x ¡ √ ¡ ¡
Naloga 7 √ √ Pomoč √ Pomoč √ √ x
Naloga 8 √ √ √ √ √ √ √ √
Naloga 9 √ ¡ √ √ ¡ √ √ √
Naloga 10 √ √ √ √ √ √ √ √
Naloga 11 Pomoč Pomoč Pomoč Pomoč Pomoč Pomoč Pomoč Pomoč
Naloga 12 Pomoč x √ Pomoč √ √ √ √
Naloga 13 x √ X √ x √ x x
√ Rešeno brez problemov.
√ Rešeno z manjšimi problemi.
¡ Rešeno, vendar s problemi, ki so pomembno zavrli reševanje naloge.
X Udeleženec ni mogel rešiti naloge oz. je potreboval pomoč, da jo je uspel rešiti pravočasno.
Prepozno Naloga je bila izpuščena zaradi preteka časa.
Pomoč Pomoč udeležencem. Ko je vodja testiranja ocenil, da nadaljnje reševanje naloge ne bo prineslo pozitivnih rezultatov.
Tabela 4: Reševanje nalog z eksperimentom glede na čas izvedbe
Glede na rezultate ugotavljamo, da večina 52 % uporabnikov ni imela težav z reševanjem nalog ena, dve, tri, štiri, sedem, osem, devet in deset. Omenjene naloge so se nanašale na iskanje informacij o portalu, administracijo uporabniških računov in portala, dodajanjem politik ter izpolnjevanj vprašalnikov na portalu. Kljub temu pa je 14 % uporabnikov naletelo na nekatere programske težave. Le-te so bile povezane z nalogami pet, šest, enajst, dvanajst in trinajst. Težave so nastale zaradi neprilagodljivosti strani na različne velikosti zaslonov (responsive design).
5.5 Analiza portala z vsebinskega vidika
V tem delu ankete smo preučevali kakovost vsebine. Anketo je rešilo sedemnajst uporabnikov, reševali so jo enkrat. Kot je razvidno iz grafa 21, 56 % anketirancev meni, da je vsebina kakovostna in 38 % jih je mnenja, da bi kakovost vsebine lahko izboljšali. Večina vprašanih je mnenja, da je vsebina uporabna, jedrnata, slovnično pravilna, ažurna, razumljiva, verodostojna in slabo strukturirana. Po mnenju uporabnikov se je slaba struktura nanašala predvsem na iskanje informacij v oddelku novic, kjer so novice razporejene po kronološkem vrstnem redu, ne pa tudi glede na vsebino.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 50
Graf 21: Ugotavljanje mnenja o kakovosti vsebine
5.6 Analiza portala s tehničnega vidika
V tem delu smo se dotaknili tehnične analize, ki smo s teoretičnega vidika opisali v poglavju 4.3. S pomočjo hevristične metode smo preverili ozadje delovanja portala Safe Mode. Pri ocenjevanju in testiranju so sodelovali od projekta Safe Mode neodvisni strokovnjaki s področij programiranja, testiranja, sistemske administracije, inženirstva, informatike in strategije oblikovanj - skupno osem uporabnikov. Testiranje je trajalo eno uro. Uporabljeni prostor testiranja ni imel motečih dejavnikov zunanjega okolja. Uporabljena je bila naslednja oprema:
osebni prenosni računalnik HP ProBook 650 i5-4210M 8GB/256, Win7/10Pro,
(Intel® Core™ i5-4210M z grafično kartico Intel HD 4600 (2,6 GHz, 3 MB predpomnilnika, 2 jedri)),
tablico HP ElitePad 1000 Z3795 G2 4GB/64 (Intel® Atom® Z3795 (1,6 GHz, do 2,39 GHz s tehnologijo Intel Burst, 2 MB predpomnilnika, 4 jedra)),
pametni telefoni:
iPhone 5s z zaslonom 4" Retina,
Samsung I9000 Galaxy S z zaslonom Super AMOLED capacitive touchscreen, 16M colors, 4.0''
Google Chroome orodja za razvijalce, ki nudijo možnost vpogleda na spletne strani glede na velikost različnih naprav.
Rezultate in ugotovitve hevrističnega pristopa smo zabeležili v tabeli 5. Preverjanje delovanja — test bremena, ki preverja obnašanje najzahtevnejših spletnih strani na sistemih s slabšo zmogljivostjo, — test obremenitve, ki preverja delovanje v razmerah povečanega obiska, — mejni test, s katerim preverjamo zlasti spletne strani z obrazci in ugotavljamo občutljivost na ekstremne situacije (preveliko število znakov, posebni znaki, neizpolnjena polja ipd.), — testiranje pravilnosti podatkovnega tipa).
Testi so bili uspešno opravljeni. Ddos do 100Mb je bil uspešen. Pri testiranju pravilnosti podatkovnega tipa nismo našli nepravilnosti. Mejni testi niso pokazali nepravilnosti.
41%
24%
35%
41%
24%
35%
65%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Ažurna
Slovnično pravilna
Razumljiva
Jedernata
Verodostojna oz. zaupanja vredna
Uporabna oz. Informativna
Dobro strukturirana
Analiza vsebine
Ne DA
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 51
Test, s katerim preverjamo delovanje funkcij
Izvesti registracijo Pri testu funkcij smo ugotovili, da nakup preko spleta ni možen, ker te funkcije portal ne ponuja. Vse ostale funkcije so bile uspešno izvedene.
Izvesti prijavo po registraciji
Izvesti nakup paketa
Iskati po vsebini portala s pomočjo iskalnika
Dodati politike in dokumentacijo
Dodati uporabnika
Poslati sporočilo
Poslati vprašalnik
Posodobiti geslo
Dostopnost spletnega portala
Pod pogojem ustrezne sistemske in programske opreme (računalnika, telefona itd. in interneta za povezavo na splet) pri odjemalcu (tehnični dejavnik) je uporabnik opremljen za dostop do spletnega portala kjerkoli ter kadarkoli.
Pregled konsistentnosti
— Meniji in gumbi, z istim pomenom, so vedno na enakih mestih, — konsistentni odzivni časi za posamezne funkcije — dvojni klik, funkcijske tipke imajo iste funkcije v skoraj celotni aplikaciji — ista pravila za uporabo barv
Pregled upoštevanja standardov
Za varno povezavo se uporablja standard https. Vključeni so standardi:
HTML, CSS in XML, ki vključujejo prilagoditev strani slabovidnim,
naglušnim in drugim uporabnikom s posebnimi potrebami,
PHP, Https, fttp, Pdf, Png, jpg, gif.
Hitrost delovanja ali odvisnost od hitrosti prenosa
Hitrost strani spletnega portala Safe Mode je pogojena s tremi faktorji:
s pasovno širino povezave, ki jo imajo uporabniki,
z obsegom oz. velikostjo strani in
s kompleksnostjo strani, ki vpliva zlasti na izpis na zaslonu.
Grafika in oblikovanje V današnji poplavi pametnih naprav in pripomočkov bi bilo pričakovati, da se portal prilagaja velikosti zaslona, vendar ni vedno tako. Na večjih ekranih se na nekaterih straneh črke prekrivajo. Glava strani tako, npr. na strani paketi, na manjših zaslonih odstopa od roba (ima zamik v levo). Test portala s pomočjo različnih filtrov in Spur App aplikacije razkrije nekatere pomanjkljivosti:
Kontrast med barvami v glavah je premajhen. Filter za zameglitev razkrije, da je branje teksta nemogoče za tiste, ki imajo težave z vidom in korekcijskih pripomočkov nimajo. Teksta v slikah ni vedno možno povečati.
Potrebne so nekatere izboljšave na tabeli Paketi, lestvici zavednosti ter na (ang. responsive design). Navodila/pomoč niso vedno na vidnem mestu.
Uporabljene tehnologije Posebni efekti niso prisotni.
Domena Domena je kratka, zapomljiva, enostavna, brez šumnikov, vseeno pa ni vedno na prvi strani brskalnika.
URL naslovi URL naslovi se ne spreminjajo.
Prisotnost napak (BUG) V času testiranja smo našli sedem napak, ki pa niso bile kritične za delovanje programa.
Tabela 5: Ugotovitve tehnične analize portala Safe Mode
Tehnično portal v fazi testiranja ni bil popoln. Mejni testi so bili uspešno opravljeni. Predlagamo možnost uvedbe nakupa storitev preko aplikacije. Standardi (HTML, CSS in XML), ki narekujejo dostopnost za vse uporabnike v vseh brskalnikih so bili upoštevani. Responsive design je v današnjem času nuja, saj poveča obseg ciljnega
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 52
občinstva, zato predlagamo, da se to umesti v sam program. Med samim testiranjem so se pojavljale manjše napake, ki pa niso kritično vplivale na samo izvedbo testiranja. Struktura portala je hierarhična, uporabnik za premik med stranmi na portal uporablja hiperpovezave. Strani si sledijo od splošnih informacij k bolj podrobnim informacijam. Uporabniki se v smislu pravic uvrščajo v tri nivoje, in sicer:
Administrator, ki ima celotni nadzor nad portalom.
Tehnični administrator (odgovorna oseba), ki nima polnega nadzora nad portalom, ima pa nadzor nad dodajanjem ali brisanjem dokumentacije na portalu. Tehničnega administratorja določi oseba, ki se je registrirala kot podjetje. Ta funkcionalnost je še v izdelavi.
Uporabnik, ki ima pravico pregleda dokumentov in izpolnjevanja testov. Portal Safe Mode sledi smernicam, ki jih narekujejo dobre prakse, obisk se bo s pridobivanjem novih strank povečal.
5.7 Sklep
Med raziskavo smo prišli do naslednjih dognanj:
Po izvedbi koraka ozaveščanja 1 se je vidno izboljšal odstotek uporabnikov, ki pozna tematike varnosti informacijske tehnologije, hkrati so se uporabniki začeli zavedati pomena zaščitne strojne opreme.
Po izvedbi koraka pregled dokumentiranje se je povečalo izvajanje dokumentiranja informacijskih varnostnih postopkov v organizacijah.
Politike, ki so bile prej napisane le za to, da so bile napisane, so v postopkih varovanja podatkov zaživele.
Reševanje nalog pri eksperimentu je pokazalo, da je iskanje informacij na portalu zamudno, poleg tega delo občasno oteži programsko nepopolna aplikacija.
Portal je po mnenju uporabnikov enostaven za uporabo, saj se z njim dela hitro in zelo enostavno.
Uporabniki menijo tudi, da je vsebina sicer kakovostna, da pa bi bile potrebne nekatere izboljšave s strukturiranjem le-te. Navigacija na samem portalu ni povzročala težav.
Večina anketiranih glede oblikovanja portala ni imela težav oz. pripomb. Vsekakor pa bi predlagali razmislek o preoblikovanju oz. izboljšanju trenutnega oblikovanja.
Tehnična analiza je pokazala, da portal nima večjih pomanjkljivosti, saj je teste delovanja uspešno opravil, vsekakor pa bi veljalo, da se portal ponovno testira, odpravi napake in doda že načrtovano obravnavo incidentov.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 53
6 PREDLOGI ZA IZBOLJŠAVE
Skozi izvedbo nalog v anketi, hevristično metodo in z eksperimentom smo zabeležili težave ter za njih predlagamo primerne rešitve: Strokovni izrazi in nerazumljivost vsebine Vsebina naj izhaja iz potreb in pričakovanj končnih uporabnikov, naj bo razumljiva široki publiki. Prisluhniti je potrebno odzivom svojih uporabnikov. Ažurnost, nezanesljivost informacij, (ne)pravočasnost posredovanj informacij Vse predstavitve naj obvezno navajajo datum zadnje spremembe. Informacije naj se objavljajo sproti, brez časovnega zamika. Stare informacije naj se umikajo novim. Vse novice naj bodo jedrnate (ang. straigt to the point), opremljene z datumom objave. Safe Mode ima zalogo informacij o nevarnostih, zato bi bilo dobro, da objavlja tudi svoja dognanja. Prisluhniti je potrebno odzivom uporabnikov. Navigacija spletnega portala Navigacija naj bo enostavna, konsistentna, pregledna ter narejena tako, da uporabnik v vsakem trenutku ve, kje se nahaja, in kako oz. kje kaj izvede. Predlagamo :
Poimenovanja tem vsebine na portalu naj bodo razumljiva povprečnemu uporabniku.
Testiranje najbolj pogostih scenarijev uporabe portala, da bodo postopki hitri in enostavni.
Testiranje funkcionalnosti in uporabnosti strani.
Prilagoditev strani za vse velikosti zaslonov.
Navodila za uporabo (ang. tutorial) naj bodo vedno vidna. Težave z uporabo spletne predstavitve portala Uvesti je potrebno sistem navigacije in iskalnikov. Vsebina naj bo hierarhično strukturirana, hierarhija pa naj bo urejena po temah, ki so navedene v paketih. Vsebina naj bo v primernem formatu. Vse predstavitve naj imajo enotno in enostavno strukturo ter smiselno organizirano vsebino. Grafika (zamegljenost, kontrast)
Potrebne so izboljšave na tabeli paketi, estvici zavednosti ter na oblikovanju odzivnosti (ang. responsive design).
Da ločimo dele strani oz. vsebino, se ne smemo zanašati samo na barvo. To bo pomagalo barvno slepim.
Obstajati mora neka opazna razlika med svetlo in temno barvo dveh sosednjih barv.
Z določitvijo velikosti pisave, ki uporabljajo relativne vrednosti, lahko dovolimo, da se velikost besedila poveča, ne da bi prekinili tok vsebine (izogibanje se uporabi eksplicitnih enot, kot so npr. pixli). Lahko pa se odločimo za večje fonte, ali razmislimo o dodajanju gradnika, ki dovoli obiskovalcem prilagoditev velikosti fonta direktno na strani.
Za slike, ki so večinoma sestavljene iz besedila, je najbolje, da je samo besedilo znotraj atributa alt. Če pa je slika le slika nečesa, potem je dovolj le kratek opis.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 54
7 ZAKLJUČEK
Na začetku smo postavili nekaj ciljev diplomske naloge, ki smo jih tudi izpolnili. S pomočjo analize korakov, analize vsebinskega in tehničnega vidika, portala Safe Mode smo potrdili domnevo, da so projekti, kot je Safe Mode, za dvig informacijske varnosti v podjetjih koristni in uporabni. Pridobili smo mnenje uporabnikov o uporabnosti in praktični uporabi portala Safe Mode. Vzorec populacije, ki smo ga je anketirali, je sicer premajhen, da bi ga posplošili za celotno populacijo, vendar pa nakazuje, da bi bilo potrebno na samem portalu Safe Mode narediti nekatere navigacijske in grafične spremembe. Safe Mode sledi dobrim praksam, uveljavljenim standardom in svoje poslanstvo utemeljuje na realnih primerih iz slovenskega in tujega prostora. Skozi proces raziskave smo prišli do ugotovitve, da ne glede na težave pri prebiranju vsebine, uporabnik potrebuje informacije, ki so namenjene varnosti na spletu, pa tudi delavnice, na katerih so predstavljene konkretne grožnje informacijske tehnologije. Ugotovili smo, da je možnosti za izboljšanje informacijske varnosti veliko. Iz potreb trga lahko tudi potrdimo, da je Safe Mode koncept uporaben in da lahko pripomore k bistvenemu izboljšanju informacijske varnosti.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 55
LITERATURA IN VIRI
Biometrija in samodejno prepoznavanje prstnih odtisov ter njihova uporaba v industriji. (2015). Pridobljeno 26. 12. 2016 na: http://aig.si/13/clanki/naprave_testiranja/N4_Kocevar.pdf
Boehm, B. W., Brown, J. R, Lipow, M. (1976). Quantitative evaluation of software quality, International Conference on Software Engineering, Proceedings of the 2nd international conference on Software engineering.
Boehm, B. W., Brown, J. R., Kaspar, H., Lipow, M., McLeod, G., Merritt, M. (1978). Characteristics of Software Quality. North Holland.
Čeh, M. (2009). Primerjalna analiza spletnih portalov na primeru Zavarovalnice Maribor in Zavarovalnice Triglav, str. 15.
Dromey, R. G. (1995). A model for software product quality, IEEE Transactions on Software Engineering.
Dromey, R. G. (1996). Concerning the Chimera software quality, IEEE Software.
Garrett, J. J. (2003). The Elements of User Experience, User-entered Design for the Web. New York: New Riders, str. 174.
Holzinger, A. (2005). Usability engineering Methods for software Developers communications of the ACM. (Vol. 48, št. 1, str. 71–74). Hoyer, R. W., Hoyer, B. B. Y. (2001). What is quality?. Quality Progress, št. 7, str. 52–62. Hudoklin, Božič, Rozman (2004). Zanesljivost in razpoložljivost sistemov človek stroj.
Informacijski pooblaščenec, Socialni inženiring in kako se pred njim ubraniti?. (2015). Pridobljeno 26. 12. 2016 na: https://www.ip-rs.si
International Organization for Standardization. (2015). Pridobljeno 20. 12. 2015 na: http://www.iso.org/iso/catalogue_detail.htm?csnumber=22749
International Organization for Standardization. (2015). Pridobljeno 20. 12. 2015 na: http://www.iso.org/iso/catalogue_detail.htm?csnumber=35733
ISO/IEC 25010:2011(E). (2015). Pridobljeno 19. 12. 2015 na: https://webstore.iec.ch/preview/info_isoiec25010%7Bed1.0%7Den.pdf
Kaj je spletni portal. (2015). Pridobljeno 20. 12. 2015 na: http://www.atlanticwebfitters.ca/AtlanticWebfittersHome/HelpfulArticles/WhatisaWebPortal/tabid/95/Default.aspx
Kragelj, B. (2002). Evalvacija spletnih predstavitev (Diplomsko delo), str. 24.
Lindič, J. (2003). Model ocenjevanja kakovosti spletnih strani (magistrsko delo).
McCall, J. A., Richards, P. K., Walters, G. F. (1977). Factors in Software Quality, Nat'l Tech. Information Service, 1, 2, 3.
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 56
Nielsen, J. (04.01.2012). Usability 101: Introduction to Usability. Pridobljeno 21. 12. 2015 na: https://www.nngroup.com/articles/usability-101-introduction-to-usability/
Nielsen, J. (1993). Usability engineering, str. 26.
Osojnik, R., Mišov, D. (2002). Spletni portali.
Quality Models. (2015). Pridobljeno 20. 12. 2015 na: http://www.academia.edu/11523747/Software_Component_Quality_Models_from_ISO_9126_Perspective_A_review Safe Mode Portal. (2015). Pridobljeno 15. 12. 2015 na: http://www.safe-mode.net
Spletni portal. (2015). Pridobljeno 17. 12. 2015 na: http://whatis.techtarget.com/definition/portal
Wodtke, C. (2003). Information Architecture, Blueprints for the Web. Indianapolis: New Riders, 343. Zakon o inšpekcijskem nadzoru. (2015). Pridobljeno 07. 12. 2015 na: www.uradni-list.si
Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija
Barbara Jeras: Analiza uporabnosti spletnega portala Safe Mode stran 57
KAZALO SLIK SLIKA 1: LASTNOSTI PORTALOV ....................................................................................................................... 4 SLIKA 2: MCCALLOV MODEL KAKOVOSTI........................................................................................................... 7 SLIKA 3: ISO/IEC 9126 – KARAKTERISTIKE KAKOVOSTI PROGRAMSKE OPREME (ISO) ............................................... 8 SLIKA 4: KARAKTERISTIKE KAKOVOSTI SOTVARJA STANDARDA ISO/IEC 25010:2011 (ISO) ....................................... 9 SLIKA 5: MODEL ATRIBUTOV UPORABNOSTI (NIELSEN, 1993, STR. 25) ................................................................ 12 SLIKA 6: PREVERJANJE RAZUMEVANJA POLITIK Z VPRAŠALNIKOM ......................................................................... 21 SLIKA 7: SPLETNI PORTAL SAFE MODE ........................................................................................................... 22 SLIKA 8: PAKETI SAFE MODE (VIR: SAFE MODE PORTAL) ................................................................................... 23 SLIKA 9: NIVOJI POSTOPKA OZAVEŠČANJA UPORABNIKA (VIR: SAFE MODE PORTAL) ................................................ 25 SLIKA 10: POSTOPKI OZAVEŠČANJA V SEDMEM KORAKU..................................................................................... 28 SLIKA 11: DESETI KORAK: OPREDELITEV INFORMACIJSKEGA PREMOŽENJA ORGANIZACIJE IN NAČINOV VAROVANJA ......... 30 SLIKA 12: PREDLOGA ZA POPIS INFORMACIJSKEGA PREMOŽENJA ......................................................................... 30 KAZALO TABEL TABELA 1: METODOLOGIJE, UPORABLJENE V RAZISKAVI ....................................................................................... 2 TABELA 2: GENISE, PAULINE. »UPORABNOSTNA OCENA: METODE IN TEHNIKE«..................................................... 17 TABELA 3: KRITERIJI TEHNIČNE ANALIZE TER NJIHOV OPIS ................................................................................... 18 TABELA 4: REŠEVANJE NALOG Z EKSPERIMENTOM GLEDE NA ČAS IZVEDBE ............................................................. 49 TABELA 5: UGOTOVITVE TEHNIČNE ANALIZE PORTALA SAFE MODE ...................................................................... 51 KAZALO GRAFOV GRAF 1: STRUKTURA VZORCA ANKETIRANIH UPORABNIKOV GLEDE NA NJIHOVO ZAPOSLITEV ...................................... 33 GRAF 2: STRUKTURA VZORCA ANKETIRANIH UPORABNIKOV GLEDE NA NJIHOVO DELOVNO MESTO .............................. 34 GRAF 3: STRUKTURA VZORCA ANKETIRANIH UPORABNIKOV GLEDE NA NJIHOVO STAROST ......................................... 34 GRAF 4: STANJE NA PODROČJU SPLOŠNE OZAVEŠČENOSTI KORAK 1 - PRED VPELJAVO KORAKA ................................... 35 GRAF 5: STANJE NA PODROČJU SPLOŠNE OZAVEŠČENOSTI KORAK 1 - PO VPELJAVI KORAKA ....................................... 36 GRAF 6: STANJE NA PODROČJU DOKUMENTIRANJE POSTOPKOV PRED VPELJAVO KORAKA »PREGLED IN DOKUMENTIRANJE«
..................................................................................................................................................... 37 GRAF 7: STANJE NA PODROČJU DOKUMENTIRANJE POSTOPKOV POSLOVANJA PO VPELJAVI KORAKA »PREGLED IN
DOKUMENTIRANJE« ........................................................................................................................... 38 GRAF 8: STANJE NA PODROČJU: PRIPRAVA IN SPREJEM OSNOVNIH POLITIK INFORMACIJSKE VARNOSTI PRED VPELJAVO
KORAKA ........................................................................................................................................... 39 GRAF 9: STANJE NA PODROČJU: PRIPRAVA IN SPREJEM OSNOVNIH POLITIK INFORMACIJSKE VARNOSTI PO VPELJAVI KORAKA
..................................................................................................................................................... 40 GRAF 10: STANJE NA PODROČJU NOTRANJI IN ZUNANJI IZVAJALCI PRED VPELJAVO KORAKA ....................................... 41 GRAF 11: STANJE NA PODROČJU NOTRANJI IN ZUNANJI IZVAJALCI PO VPELJAVI KORAKA............................................ 41 GRAF 12: STANJE NA PODROČJU SOCIALNEGA INŽENIRINGA PRED VPELJAVO KORAKA ............................................... 42 GRAF 13: STANJE NA PODROČJU SOCIALNEGA INŽENIRINGA PO VPELJAVI KORAKA ................................................... 42 GRAF 14: STANJE NA PODROČJU TEHNIČNEGA VAROVANJA IN NJEGOVA VLOGA PRI ZAGOTAVLJANJU VARNEGA POSLOVANJA
PRED IZVEDBO KORAKA ....................................................................................................................... 43 GRAF 15: STANJE NA PODROČJU TEHNIČNEGA VAROVANJA IN NJEGOVA VLOGA PRI ZAGOTAVLJANJU VARNEGA POSLOVANJA
PO IZVEDBI KORAKA ........................................................................................................................... 44 GRAF 16: STANJE NA PODROČJU OPREDELITVE INFORMACIJSKEGA PREMOŽENJA ORGANIZACIJE IN NAČINOV VAROVANJA
PRED IZVEDBO CIKLA .......................................................................................................................... 45 GRAF 17: STANJE NA PODROČJU OPREDELITVE INFORMACIJSKEGA PREMOŽENJA ORGANIZACIJE IN NAČINOV VAROVANJA
PRED IZVEDBO KORAKA ....................................................................................................................... 45 GRAF 18: UČINKOVITOST TER ENOSTAVNOST PORTALA. .................................................................................... 46 GRAF 19: ISKANJE INFORMACIJ IN STORITEV PO PORTALU .................................................................................. 47 GRAF 20: OBISKOVANJE PORTALA GLEDE NA OBLIKO ......................................................................................... 47 GRAF 21: UGOTAVLJANJE MNENJA O KAKOVOSTI VSEBINE ................................................................................. 50