Audyty w punktach sprzedaży a analiza ryzyka

2019-01-10

Analiza ryzyka nie jest to nie tylko obowiązek ustawowy, który jest niezbędny do pozyskania akredytacji bezpieczeństwa teleinformatycznego. Jak w tej kwestii kształtują się audyty w punktach sprzedaży?


Istnieje, takie przeświadczenie, że wprowadzenie podpisu elektronicznego, dosłownie dla każdego urzędnika oraz podpisanie przez niego każdej wykonanej czynności umożliwia pełen obieg dokumentów. Osoba, która podpisuje daną decyzję w wersji elektronicznej, zawsze potrzebuje stuprocentowego zapewnienia, iż informacje, na podstawie których ta decyzja została podjęta, muszą zostać w tych aktach sprawy. Dobrze by było, gdyby ochroniona była integralność oraz dostępność takich właśnie informacji, a także jest niezmiernie potrzebna i odpowiednia technologia swojego podpisu elektronicznego. Więc podpis powinien też zapewniać autentyczność oraz integralność podpisanej wiadomości. Warto zatem zastanowić się w jaki sposób różne firmy radzą sobie z owym problemem i to bez wykorzystania technologii podpisu elektronicznego. Ma to zastosowanie, gdy przedstawia się audyty w punktach sprzedaży http://merservice.pl/uslugi/audyty/ .


Biznes o charakterze minimalizacji możliwych kosztów, często prowadzi do posługiwania się wieloma uproszczeniami. Taki przypadek elektronicznego biegu dokumentów oraz redukcji kosztów, zyskuje się przez skrócenie czasu potrzebnego do dystrybucji papierów, co prowadzi do szybszego załatwiania spraw, mniejsze wykorzystanie papieru oraz złożycie urządzeń. Całkowita rezygnacja z dokumentów w formie papierowej, stwarza konieczność zadbania o bezpieczeństwo wiadomości przechowywanych w formie elektronicznej. Niestety zawsze istnieje możliwość ujawnienia informacji, częstą przyczyną jest nieprawidłowe skonfigurowanie systemu, zaprzeczenie nadania albo wzięcie dokumentów poza firmę przy zastosowaniu innych nośników informacji. Należy pamiętać, że zapewnienie odpowiedniej ochrony jest priorytetem w ochronie dokumentów elektronicznych, ochronie uwierzytelnienia osób, integralności oraz autentyczności przekazywanych informacji w odniesieniu do audyty w punktach sprzedaży.


Digitalizacja już prawie wszystkich dziedzin życia człowieka w czasie ostatnich trzech dekad ma bardzo doniosłe konsekwencje dla bezpieczeństwa narodowego jak i międzynarodowego. Coraz to częstsze zastosowanie sieci i komputerów oraz bardzo szeroko pojętych teleinformatycznych technologii, zarówno w sferze publicznej oraz prywatnej, wiąże się nie tylko z korzyściami, ale również z rosnącą wrażliwością na szkodliwe wykorzystanie. Teleinformatyczne technologie są współcześnie wykorzystywane na dużą a nawet masową skalę, do różnego rodzaju celów, przez podmioty i to o różnym stopniu zorganizowania, statusie prawno-politycznym oraz odmiennych motywacjach. Dodatkowo sytuację komplikuje ogólna specyfika funkcjonowania cyberprzestrzeni, która wiąże się między innymi z brakiem tradycyjnych granic albo bardzo łatwą do osiągnięcia anonimowością.


Jednym z wielu zagadnień, które jest lekceważone w trakcie wdrażania, projektowania oraz eksploatowania systemów teleinformatycznych, które przetwarzają informacje niejawne jest to analiza ryzyka. Owa analiza jest elementem znacznie większej całości w procesie zarządzania ryzykiem. W skład zarządzania ryzykiem w odniesieniu do audyty w punktach sprzedaży zalicza się: proces szacowania ryzyka, proces postępowania z ryzykiem, proces akceptacji ryzyka czy proces monitorowania ryzyka.


Analiza ryzyka jest elementem szacowania ryzyka. Sama definicja określa ową analizę ryzyka jako główny proces identyfikacji ryzyka oraz określenia wielkości takiego ryzyk. Mówiąc prościej w odniesieniu do audyty w punktach sprzedaży to analiza ryzyka jest nazywana procesem podczas którego to określamy kolejno: zagrożenia oddziaływające na zasoby, zasoby systemu teleinformatycznego, podatności zasobów albo zabezpieczeń, skutki działania zagrożeń i zabezpieczenia inaczej środki ochrony. Mając już określone wszystkie powyższe elementy, można używać dowolnej metodyki przy określeniu wielkości zidentyfikowanych ryzyk. Jedną z najbardziej popularnych metodyk identyfikacji ryzyka określa się jako iloczyn podatności oraz iloczyn skutków. Pamiętajmy, iż aby dopuścić do pracy system teleinformatyczny, w którym to mają być przetwarzane niejawne informacje, trzeba zakończyć, z pozytywnym wynikiem cały proces akredytacji bezpieczeństwa.


Takie oszacowanie ryzyka, pozwala na zidentyfikowanie ryzyka naruszenia bezpieczeństwa, na jakie w przyszłości mogą być narażone informacje przetwarzane w danym systemie, również pozwala na dobranie adekwatnych zabezpieczeń jak i efektywnie chronić zasoby, a głównie chronić informacje, które są składowane w tym właśnie systemie. Niejednokrotnie termin „analiza ryzyka”, jest używany do określenia wszystkich możliwych działań, które związane są z procesem zarządzania owym ryzykiem i zamiennie z terminem jakim jest „szacowanie ryzyka”, a w samym kontekście w ustawie o ochronie informacji niejawnych z całą pewnością jest to błędne. Jest wiele jednostek organizacyjnych, których to traktuje samą analizę ryzyka jako element, który jest tylko pewnego rodzaju dodatkowym rozdziałem w dokumencie „szczególnych wymagań bezpieczeństwa”, bez którego to ABW czy SKW, nigdy nie zatwierdzi dokumentacji bezpieczeństwa. Należy pamiętać, że brak sformalizowanej analizy ryzyka, nigdy jednak nie oznacza, że dane składowane w takim systemie teleinformatycznym nie są odpowiednio chronione, jeżeli chodzi o audyty w punktach sprzedaży. . Tak naprawdę, każdy podczas projektowania oraz eksploatowania systemu teleinformatycznego, który powinien posiadać założony poziom ochrony informacji, przeprowadza intuicyjną analizę ryzyka.  Przeprowadzenie całościowego szacowania ryzyka daje nam gwarancję miarodajnego wyniku. Takie podejście formalne znacznie bardziej ułatwia opisanie rzeczywistości, ponieważ dostarcza już nam gotowe wzorce oraz podpowiada rozwiązania. Uporządkowanie w opisie i czynności pozwala również na ocenić przeprowadzone wcześniej działania jak i daje możliwość samego korzystania z poprzednio już uzyskanych wyników przy następnym szacowaniach ryzyka.