Bár el vagyok havazva egy projekt zárása során, azért olvasni mindig szakítok idõt, fõként a rövidebb hírekre. Ímhol egy mostani amin kicsit elgondolkodtam:
Egy mostanában közzétett vizsgálati eredmény szerint a programfejlesztéseket alvállalkozók bevonásával végzõ szervezetek 60 százaléka nem határoz meg biztonsági követelményeket. A Quocirca által végzett felmérés szerint manapság jóval több bérfejlesztést végeznek, mint valaha, és a programfejlesztéseket végzõ cégek kilencven százaléka bérmunkában végezteti a kódírás több mint 40 százalékát.
Eközben az USA Technológiai Szabványügyi Intézetének beszámolója arról tudósít, hogy a számítógépes hálózatokat is veszélyeztetõ szoftverhibák 92 százalékáért szoftveralkalmazások felelõsek, ugyanakkor az alvállalkozók bevonásával végzett fejlesztéseknél a fõvállalkozók 20 százaléka még csak nem is foglalkozik a biztonsággal.
Az alvállalkozókat leginkább a pénzügyi szolgáltatásokat nyújtó szervezetek foglalkoztatják; 72 százalékuk az újonnan fejlesztendõ szoftverek teljes kódjának 40 százalékánál is többet ad ki bérmunkába.
A Fortify Software vezetõségi tagja, Howard Schmidt – aki régebben IT-biztonsági tanácsadóként is dolgozott az amerikai kormányzatnak – azt mondta, hogy “A felmérés eredményei magyarázatot adnak arra, miért nõtt meg ilyen hirtelen az adatvesztéses incidensek száma”.
Forrás: vnunet
Gondoljunk csak a dolgok mögé! Ma magyarországon ez a trend simán tetten érthetõ, hisz a legfontosabb még a nagy cégeknek is, hogy minél költséghatékonyabban dolgozzanak. Ennek értelmében a feladatokat folyamatosan adják ki alvállalkozóknak, s nem teszik melléjük a QM részt a projektben. Az alvállalkozóknál – tisztelet a kivételnek – a QM csak nyûg, hisz akadályozza a munkát, nem a fõ feladat, ergó kerülik és kihagyják. Ennek okán nincsa kód ellenõrizve, dokumentálva, stb. Sajnos a Megrendelõi oldalon az átvétel ma – a mindennapi gyakorlat szerint – vagy nagyon, már-már túlzottan alapos, vagy csak abszolút formalizált.
Mit lehetne mindezek ellen tenni? Sokat, nem is túl bonyolúltan, de sajnos az pénzbe és odafigyelésbe kerülne.
Elsõ nekifutásra tipikusan az állami tenderekben a döntési szempontnak 90%-ban nem az ÁR kategóriának kéne lennie! Tessék megnézni a tenderanyagokat és utánaszámolni hány százalékban van más e ponton megjelölve. Természetesen fontos az ár, de hogy a szakmai tartalom csak 10-40% és az ár a maradék az már-már nevetséges. Így eleve lehetetlen jót kérni a szállítóktól.
Második lépésben fontos lenne, a képzés és minõsítés! Nem ragaszkodom a kamarákhoz, de fontos lenne egy olyan kör aki “jogosítványt” adna ki az egyes fõbb IT területekre, hogy ne bárki készíthessen – legalább minõsített – alkalmazásokat, ne szállíthasson HW-t, stb. Mára az IT vállalkozások száma magyarországon meghaladta a 3000-t! Ez olyan mint annó a TAXI-s kör, ha nincs munkád és láttál már számítógépet legyél IT-s! Rengeteg emberrel beszélek – szülõkkel és még pályaválasztás elõtt álló gyermekeikkel, valamint már diplomamunkával foglalkozókkal egyaránt – és sajnos az a tapasztalatom, hogy aki már látott is kicsit számítógépet és szeretett játszani az máris IT-s akar lenni.
Nem vitatom, vannak olyanok köztünk akiket csak ez éltet, de azért ez a szakma (is) rengeteg tanulást, folyamatos tanulást, és gyakorlatot követel! Ez nem lesz meg az iskolákban, onnan kilépve rögtön.
Harmadik lépésben fontos lenne, az itthoni vállalkozásokat – fõleg az innovációra azért nyitottabb KKV szektort – kicsit erõsíteni a multikkal szemben. Mára a feladatkiírások olyanok, hogy abban egy tisztességesen mûködõ KKV beli vállalkozás nem tud indulni, csak a bevételek – és a nyereség – megosztásával valamely multival együtt. Innentõl a multi diktál, holott a kiirásban megkövetelt plusz igények teljesítésén kívül – amik sok esetben azért érthetetlenek – semmi hozzáadott értéket nem termel. Természetesen eltartunk ott is egy-két embert, de ezek termelõereje nagyságrendekkel kissebb mint, a tényleges feladatot teljesítõké – és sajnos mégis övék a dicsõség is és a pénz is az esetek nagy többségében.
Tudom, hogy ezeken nehéz segíteni, de amíg ez így van – és nem csak itthon – addig az alap cikkben megfogalmazott dolgok csak üres szavak, és kesergések, de eredményre nem vezetnek. Tényleg valaki az érintett szabályozást alkotókból olvassa ezeket egyáltalán? Érdekli is ez Åket?