Managing the security aspects of the tehnical component of business information systems

Abstract

S ciljem povećanja produktivnosti i olakšanja korištenja usluga, suvremena poduzeća redovito koriste razne tehničke uređaje unutar svoje organizacije. Ovaj rad analizira sigurnosne aspekte i povezene rizike kroz pet kategorija uređaja koji se najčešće koriste u poslovnom okruženju, a mogu predstavljati značajan sigurnosni izazov: višenamjenski pisači, USB memorije, BYOD, aktivna mrežna oprema i POS terminali. Cilj rada usmjeren je na otkrivanje ključnih sigurnosnih prijetnji vezanih uz tehničku komponentu poslovno-informacijskih sustava te analizirati potencijalne učinke koje bi nastup takve prijetnje imao na organizaciju, bilo to financijske ili nefinancijske prirode. Temeljem istraživanja i karakterističnih primjera u kojima su specifični rizici nastupili, a u skladu s poslovnom praksom, rad definira tehničke i organizacijske mjere zaštite kojima je cilj ublažiti ili ukloniti rizik odnosno umanjiti njegove negativne posljedice. Jedan od ključnih zaključaka je da tehničke mjere same po sebi nisu dovoljne, već se njihova primjena mora kombinirati s jasnim internim politikama i redovitom edukacijom zaposlenika s obzirom na to da je ljudski faktor često najslabija karika u sustavu informacijske sigurnosti.In order to increase productivity and facilitate the use of services, modern companies regularly use various technical devices within their organizations. This paper analyses the security aspects and associated risks across five categories of devices most commonly used in business environments, which may pose significant security challenges: multifunction printers, USB flash drives, BYOD (Bring Your Own Device), active network equipment, and POS terminals. The aim of this paper is to identify key security threats related to the technical components of business information systems and to analyse the potential impact such threats may have on an organization, whether of a financial or non-financial nature. Based on research and characteristic examples in which specific risks have materialized, and in accordance with business practices, the paper defines technical and organizational protection measures aimed at mitigating or eliminating risks, or at least reducing their negative consequences. One of the key conclusions is that technical measures alone are not sufficient; their implementation must be combined with clear internal policies and regular employee education, considering that the human factor is often the weakest link in the information security system