• Doświadczenie użytkownika
• Bezpieczeństwo, prywatność
• Czas reakcji
• Kwestie dotyczące outsourcingu
Bibliografia / Literatura uzupełniająca:
1. http://en.wikipedia.org/wiki/Web_site 2. http://en.wikipedia.org/wiki/Web_portal
3. Kenyon, Geoff. Technical Site Audit Checklist. 2011, http://www.seomoz.org/blog/how-to-do-a -site-audit
4. Jones, Harrison. How-to: Guide-to Performing Website Audits. 2011 http://www.techipedia.
com/2011/website-audit-guide/
2. Przetwarzanie danych na urządzeniach przenośnych
Coraz większy nacisk kładzie się na świadczenie usług wszelkiego rodzaju kanałami informatycznymi.
Jest to związane z wykorzystywaniem bezprzewodowych technologii komunikacyjnych do dostarczania aplikacji i informacji. W dzisiejszych czasach wiele aplikacji oferuje się w środowisku mobilnym.
Informacje są dostarczane przez telefony komórkowe, tablety, sieci Wi-Fi, telewizory i szerokie spektrum urządzeń i narzędzi elektronicznych. Przetwarzanie danych na urządzeniach przenośnych można rozumieć jako informatyczne punkty dostępu (komputer osobisty, laptop itp.), ale wiążą się one z pewnymi specjalnymi obszarami kontrolnymi, które mogą być ważne.
Obszary kontroli
• Zabezpieczenie sieci bezprzewodowej, prywatność, szyfrowanie
• Doświadczenie użytkownika
• Konkretne polityki dotyczące przetwarzania danych na urządzeniach przenośnych w organizacji
• Ryzyka korzystania z urządzeń osobistych do uzyskiwania dostępu do danych i usług firmowych
• Ryzyka nieuprawnionego dostępu do danych znajdujących się na urządzeniu
• Zwiększone ryzyka uszkodzenia lub kradzieży urządzeń firmowych.
Bibliografia / Literatura uzupełniająca:
1. ISACA IT Audit and Assurance Guideline G 27 – Mobile Computing http://www.isaca.org/
Knowledge-Center/Standards
2. ISACA Mobile Computing Security Audit/Assurance Program http://www.isaca.org/
auditprograms
3. Kontrola śledcza (lub informatyka śledcza)
Kontrolę śledczą przeprowadza się w celu zbadania nośników cyfrowych, aby uzyskać dowody na potrzeby dochodzenia lub sporu. Zachowanie dowodów jest niezbędne podczas analizy w ramach informatyki śledczej. Obejmuje ona podejście, narzędzia i techniki badania informacji cyfrowych na potrzeby identyfikacji, zachowania, odzyskania, analizy i przedstawienia faktów i opinii na temat przechowywanych informacji.
Wiąże się ona głównie z dochodzeniami karnymi, kiedy może pomóc organom ścigania i dostarczyć mocnych dowodów w procesie sądowym. Informatyka śledcza ma zastosowanie w wielu obszarach, takich jak między innymi nadużycia finansowe, szpiegostwo, morderstwo, szantaż, niewłaściwe użycie komputera, nadużycia technologii, oszczerstwo, złośliwe wiadomości elektroniczne, wyciek informacji, kradzież własności intelektualnej, pornografia, spamowanie, hakowanie i nielegalne przekazywanie środków48.
Obszary kontroli
Dyscyplina ta wymaga podobnych technik i zasad, jak te stosowane przy odzyskiwaniu danych, ale w celu stworzenia zgodnej z prawem ścieżki kontroli należy opracować dodatkowe wytyczne i praktyki.
• Zatrzymanie dowodów (danych, dostępu, dziennika) do analizy
• Przechwycenie i zachowanie danych możliwie jak najbliżej naruszenia
• Standardy gromadzenia danych na potrzeby ewentualnego egzekwowania prawa
• Jak najmniej inwazyjny proces przechwytywania danych, niezakłócający działalności operacyjnej
• Identyfikacja osób atakujących, o ile to możliwe.
48 IT Audit and Assurance Guideline G38 Computer Forensics, ISACA.
Dodatkowe interesujące tematy
Bibliografia / Literatura uzupełniająca:
1. ISACA IT Audit and Assurance Guideline G 27 – Mobile Computing http://www.isaca.org/
Knowledge-Center/Standards
2. Forensic Examination of Digital Evidence: A Guide for Law Enforcement 3. http://www.ncjrs.gov/pdffiles1/nij/199408.pdf
4. Electronic Crime Scene Investigation: A Good Practice Guide for Computer-Based Electronic Evidence
5. http://www.met.police.uk/pceu/documents/ACPOguidelinescomputerevidence.pdf 6. Computer Forensics. Wikipedia
7. http://en.wikipedia.org/wiki/Computer_forensics
4. Elektroniczna administracja (Electronic Government), zarządzanie elektroniczne (Electronic Governance) i zarządzanie urządzeniami przenośnymi (Mobile Governance) (eGov, e-Gov i m-Gov)
Narodziny i rozwój technologii informacyjnej zmieniły całościowo sposób świadczenia usług przez administrację rządową na rzecz obywateli. Podczas gdy technologia rozprzestrzenia się wśród ludności, administracja rządowa skupia się na nowych podejściach do dostarczania informacji i aplikacji z korzyścią dla ludzi. Elektroniczna administracja (Electronic Government), zarządzanie elektroniczne (znane jako eGov lub e-gov) i zarządzanie urządzeniami przenośnymi, to niektóre z obszarów dotyczących tej tematyki. Pojęcia te są ze sobą powiązane, choć nie są całkowicie synonimiczne.
Obszary kontroli
Prowadząc kontrolę, kontroler powinien mieć świadomość, że administracja rządowa ma z reguły obowiązek świadczenia usług w sposób ekonomiczny, wydajny i skuteczny. Bardzo często dostarczanie usług drogą elektroniczną umożliwia najszerszy zasięg przy rozsądnych kosztach.
Z perspektywy kontroli, kontrolowanie systemów informacyjnych lub procesu biznesowego towarzyszącego strategii e-gov lub m-gov nie różni się od tradycyjnej kontroli systemów informatycznych. Kontroler może być zmuszony przyjrzeć się niektórym dodatkowym mechanizmom polityki i wdrażania (na przykład polityce organizacji dotyczącej przetwarzania danych na urządzeniach przenośnych, oprogramowaniu do szyfrowania, ograniczaniu korzystania z osobistego smartfona itd.).
Bibliografia / Literatura uzupełniająca:
1. Eletronic Governance. Wikipedia
2. http://en.wikipedia.org/wiki/E-Governance
3. Mobile Governance. Ministerstwo Łączności i Technologii Informacyjnych. Rząd Indii 4. http://mgov.gov.in/msdpbasic.jsp
5. United Nations E-Governance Survey (Badanie ONZ na temat zarządzania elektronicznego) 6. http://www2.unpan.org/egovkb/global_reports/10report.htm
5. Handel elektroniczny (e-handel)
Handel elektroniczny (e-commerce) odnosi się do wszelkiego rodzaju transakcji biznesowych lub handlowych dokonywanych przez sieć. Obejmuje on między innymi sprzedaż informacji, towarów i usług oraz handel nimi.
Chociaż potocznie termin e-handel stosuje się zazwyczaj w odniesieniu do handlu towarami i usługami przez Internet, obejmuje on szerszą działalność gospodarczą. E-handel dzieli się na handel na zasadzie relacji przedsiębiorstwo--klient (B2C) i przedsiębiorstwo-przedsiębiorstwo (B2B) oraz wewnętrzne transakcje organizacji, które wspierają te działania49.
Cały szereg technologii i procesów biznesowych dotyczy obecnie e-handlu, np. portale, przekazywanie środków drogą elektroniczną, bankowość internetowa, zarządzanie łańcuchem dostaw, marketing, zakupy on-line, handel przy użyciu urządzeń mobilnych, zarządzanie zapasami itd.
Obszary kontroli
Dla systemu e-handlu kluczowych jest kilka aspektów. Decydując o celach kontroli, należy uwzględnić niektóre z nich, np.:
• Dostępność
• Bezpieczeństwo transakcji
• Skalowalność rozwiązania
• Doświadczenie użytkownika
• Proces biznesowy przeprowadzany w ramach strategii e-handlu.
Proces biznesowy przeprowadzany w ramach strategii e-handlu wymaga silnych mechanizmów bezpieczeństwa, aby zapewnić przede wszystkim integralność, poufność, niezaprzeczalność i autentyczność transakcji internetowych. Dlatego też wkracza w tym miejscu zbiór procesów i technologii zwany Infrastrukturą Klucza Publicznego (PKI).
PKI zawiera zbiór standardowych algorytmów kryptograficznych i technik umożliwiających użytkownikom bezpieczną komunikację za pośrednictwem niezabezpieczonych sieci publicznych gwarantujących przekazanie informacji właściwemu odbiorcy. Bez tej technologii e-handel, jaki znamy, nie byłby możliwy50. Aby przeprowadzić kontrolę systemów e-handlu, bardzo często kontroler musi dysponować wiedzą na temat głównych elementów Infrastruktury PKI.
• Klucze publiczne i prywatne
• Mechanizmy podpisu elektronicznego
• Certyfikaty cyfrowe
• Organy certyfikujące i rejestrujące
• Algorytmy kryptograficzne.
O ile kontroler nie musi być ekspertem w tych obszarach, to musi być świadomy powszechnie przyjętych standardów oraz wiedzieć, czy organizacja je przyjęła.
Bibliografia / Literatura uzupełniająca:
1. E-Commerce. Encyclopedia Britannica.
http://www.britannica.com/EBchecked/topic/183748/e-commerce
2. E-Commerce and Public Key Infrastructure Audit/Assurance Program. Isaca
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/E- commerce-and-Public-Key-Infrastructure-PKI-Audit-Assurance-Program.aspx
3. Audit Trails in an E-commerce Environment
http://www.isaca.org/Journal/Past-Issues/2002/Volume-5/Pages/Audit-Trails-in-an-E- commerce -Environment.aspx
49 E-Commerce. Encyclopedia Britannica. http://www.britannica.com/EBchecked/topic/183748/e-commerce
50 E-Commerce and Public Key Infrastructure Audit/Assurance Programme. Isaca, 2012.
Załącznik I