Audyty w sieciach sprzedaży a nieodzowna pomoc systemów teleinformatycznych

Współczesne audyty w sieciach sprzedaży, czyli na co zwrócić szczególną uwagę?

W przypadku mniej skomplikowanych systemów teleinformatycznych, jak na przykład pojedyncze stanowisko komputerowe, to przeprowadzenie takiej analizy ryzyka, bez ujęcia jej w formalne ramy, nie powinno skutkować tym, iż wdroży się nieprawidłowe środki ochrony, gdyż w takim przypadku nie oczekuje się skomplikowanych analiz. Ma to zastosowanie, jeżeli mówimy o audyty w sieciach sprzedaży http://merservice.pl/uslugi/audyty/.

Jednak w przypadku złożonych systemów teleinformatycznych, jak na przykład sieci komputerowych, samo podejście metodologiczne jest konieczne, gdyż bez tych ram, bardzo łatwo popełnić błąd, można zawsze czegoś nie zauważyć albo coś pominąć. Zatem, gdy jest mowa o szacowaniu ryzyka, to nie należy zapomnieć o tym, iż jest ono tylko elementem znacznie większej całości, całości którą to stanowi proces zarządzania ryzykiem. Taki proces zarządzania ryzykiem jest to schemat postępowania, który jest wykonywany cyklicznie i ma na celu minimalizację ryzyka naruszenia bezpieczeństwa i strat finansowych. Bardzo dobrym odniesieniem jest norma ISO/IEC 27001, która bardzo szczegółowo i konkretnie opisuje powyższy cykl.

Przedstawiając audyty w sieciach sprzedaży nie należy zapominać, iż sam proces zarządzania ryzykiem polega na określeniu środowiska, w którym przeprowadzana jest analiza ryzyka. Następnie dochodzi do identyfikacji wszystkich elementów niezbędnych w analizie ryzyka, czyli są to zasoby, środki ochrony, zagrożenia oraz słabe punkty. Kolejnym etapem jest określenie wszystkich skutków działania możliwych zagrożeń na zasoby jak i określenie prawdopodobieństw albo inaczej możliwości wystąpienia jakiegoś zagrożeń, zaś na końcu następuje określenie poziomu ryzyk naruszenia bezpieczeństwa. Właśnie te etapy składają się na główną analizę ryzyka. Kolejnym etapem jest ocena wyliczonego wcześniej ryzyka, czyli określenie znaczenia oraz istotności ryzyka. Całość dotychczasowa stwarza szacowanie ryzyka. Następnie trzeba odpowiedzieć na pytanie, czy można przeciwdziałać wszystkim możliwym zagrożeniom, czy też nie. Już po dokonaniu szacowania ryzyka, podejmujemy następne działania, których głównym celem jest minimalizacja albo wyeliminowanie wszystkich możliwych zagrożeń. Gdy dojdzie już do wdrożenia środków ochrony, system teleinformatyczny, powinien już posiadać założony poziom bezpieczeństw.

 

W dalszym etapie dochodzi do monitorowania stanu bezpieczeństwa danego systemu teleinformatycznego. Należy śledzić na bieżąco zmiany struktury organizacji, wpływ możliwych czynników zewnętrznym, jak na przykład zmiany prawne. Gdy już zostaną dostrzeżone nowe zagrożenia albo pojawią się jakieś słabe punkty, ponownie zostanie rozpoczęty następny cykl procesu zarządzania ryzykiem, korzystając przy tym oczywiście z poprzednich wyników. Bardzo dobrą praktyką jest cykliczne wykonywanie wszystkich wyżej wymienionych działań, w wyznaczonym przedziale czasu. Ten proces jest ciągły, czyli określone czynności trwają cały czas, jak na przykład analiza czynników zewnętrznych oraz wewnętrznych, które w ściśle określony sposób oddziałują na system TI. Należy zatem dodać, iż okresowość szacowania ryzyka, zawsze wymusza rozporządzenie w sprawie dotyczącej podstawowych wymagań bezpieczeństwa teleinformatycznego, a mianowicie §19 ust. 7 pkt 5.

Ukazując audyty w sieciach sprzedaży nie zapominajmy o fakcie, że analizę ryzyka zawsze można wykonywać manualnie, bądź używając określonych narzędzi do automatyzacji pracy. W przypadku pierwszym, sami od początku do końca analizy odpowiadamy za wykonane obliczenia, określenie wszystkich możliwych zagrożeń, słabych punktów, skutków, sami kontrolujemy poprawność przyjętych założeń oraz działań wykonywanych podczas takiej analizy. Sami również tworzymy końcowy raport, który jest podsumowaniem jak i uzasadnieniem podjętych działań. Analiza rozbudowanych systemów teleinformatycznych, która jest wykonywana tym właśnie sposobem jest pracochłonna. Taki sposób analizy wymaga koncentracji i cierpliwości. Zaletą jest to, iż po wykonaniu takich czynności, zespół który jest odpowiedzialny za ochronę danych w systemie TI, posiada całkowitą wiedzę na temat bezpieczeństwa analizowanego systemu. Wynika to głownie z tego, iż w czasie przeprowadzania analizy, wnikliwie bada się wszystkie możliwe sytuacje, które mogą wystąpić w trakcie życia systemu.