Aplikacja pod kontrolą

Liczba zagrożeń dotyczących danych i informacji rośnie w tempie geometrycznym. Wykorzystujemy technologię, która jest narażona na szereg zagrożeń. Nie adaptujemy, jednak odpowiedniego podejścia do zarządzania i milcząco akceptujemy ryzyka z tym związane.

Webowe systemy aplikacyjne są bardzo rozpowszechnione w biznesie. Ze względu na swoją konstrukcję, są podatne na szereg zagrożeń znanych z Internetu. Z drugiej strony, informacje prezentowane przez nie użytkownikowi są traktowane jako wiarygodne i pochodzące z zaufanego źródła. A przecież nie zawsze tak musi być.

Typowy, webowy system aplikacyjny pozwala użytkownikowi za pomocą przeglądarki internetowej komunikować się z serwerem webowym, za którym kryją się serwery aplikacyjne (logiki biznesowej) i bazy danych. Przyczyna podatności webowych systemów aplikacyjnych na zagrożenia może być zlokalizowana w wielu miejscach - poczynając od systemów operacyjnych, w których pracują serwery aplikacyjne, poprzez nieprawidłowości w administrowaniu nimi, a na błędach programistycznych i konfiguracyjnych kończąc.

Ochrona systemów aplikacyjnych

Elementy kontroli wewnętrznej, zlokalizowane w systemach aplikacyjnych, obejmują szereg kwestii dotyczących każdego etapu życia danych i informacji - od ochrony wejścia (wprowadzania danych), poprzez ochronę przechowywania i przetwarzania danych, aż do ochrony wyjścia (raportowania).

Mechanizmy kontrolne, wbudowane w system aplikacyjny, powinny uwzględniać zagadnienia takie jak:
- autoryzacja wprowadzania danych - obejmująca kontrolę nad wszystkimi źródłami i metodami wprowadzania danych;
- przetwarzanie wsadowe i bilansowanie - szczególnie istotne dla systemów finansowych, które często opierają się na przetwarzaniu wsadowym (np. system płacowy, z którego eksportowane są paczki przelewów do zapłaty wynagrodzeń), co pociąga za sobą potrzebę bilansowania grup transakcji i ochronę w trakcie całego cyklu przetwarzania
- kontrola nad wprowadzanymi danymi - identyfikacja błędnych lub nieprawidłowych danych na możliwie najwcześniejszym etapie;
- odrzucenie/zawieszenie transakcji - identyfikowanie błędów jest pierwszą linią obrony, ale wszystkie zidentyfikowane błędy powinny zostać wyjaśnione i usunięte; stosuje się tutaj różne podejścia - od przetwarzania transakcji i oznaczania ich do późniejszej weryfikacji do zupełnego wstrzymania przetwarzania transakcji do czasu wyjaśnienia i korekcji błędów;
- integralność przetwarzania wsadowego w systemach on-line’owych i bazach danych - kluczową rolę odgrywają tu mechanizmy zapewnienia kompletności i integralności przetwarzanych danych; wynika to z tego, że do systemów on-line’owych ma dostęp wielu użytkowników (jednocześnie) na różnych poziomach uprawnień, a dodatkowo z systemem komunikują się często inne aplikacje poprzez różnego rodzaju interfejsy;