Chương 8 : THỊ TRƯỜNG IN BẢO MẬT
9.2. Chia sẻ rủi ro giữa nhà cung cấp và nhà in bảo mật
Các nhà cung cấp bảo mật và nhà in bảo mật đều luôn cố gắng để giảm tối đa sự đe doạ và rủi ro đặt lên họ bởi bọn làm giả và tội phạm. Vì mục đích đó mà các thực tiễn kinh doanh tốt nhất trong công nghiệp bảo mật đều được coi như là các chiến thuật quản lý rủi ro. Đầu tiên, rủi ro phải được định nghĩa và sau đó phân loại các vấn đề cho các nhà in, nhà cung cấp bảo mật nào cần quản lý những rủi ro này sẽ dựa trên việc tiếp xúc với bọn làm giả trong các khu vực nhà nước và tư nhân. Một lần nữa, các nhà in và cung cấp bảo mật phải có trách nhiệm thực hiện theo các thực tiễn kinh doanh tốt nhất để đảm bảo về an toàn, sức khỏe và của cải của khách hàng và các ngành kinh doanh riêng và cũng đối với chính phủ sở tại. Nói chung, thực tiễn tốt nhất bao gồm việc quản lý một số loại rủi ro sau đây và ngăn chặn chúng xảy ra:
Rủi ro về mối quan hệ khách hàng Rủi ro về mặt thông tin
Rủi ro về mặt vật liệu bảo mật Rủi ro về dây truyền cung cấp Rủi ro về nhân sự
Những rủi ro thất bại
Những rủi ro liên quan đến khách hàng/người khởi đầu: Trách nhiệm của người cung cấp là kiểm tra khắt khe các nhà in mới để đảm bảo rằng họ kinh doanh có giấy phép hợp pháp và không phải là người mua gian lận. Các nhà in cũng thế phải xem xét các nhà cung cấp có cung cấp các vật liệu bảo mật, công nghệ, phần cứng, phần mềm có nhiều mục đích, những thư có thể sử dụng trong thị trường không bảo mật hay không? Họ nên có những thông tin thích hợp đáng tin cậy của tất cả các bên bao gồm trong dây truyền phân phối từ khách hàng/người khởi đầu cho đến người bán sỉ/phân phối và người bán lẻ/ khách hàng.
Những rủi ro về thông tin: Các thông tin có thể có giá trị đối với bọn làm giả thì nên công khai ở mức độ căn bản cần phải biết. Việc quản lý rủi ro thông tin thường đòi hỏi sự xác minh giống nhau, cho phép truy cập và tiếp xúc với công nghệ, các thỏa thuận bí mật, kiểm duyệt thông tin công khai cho cộng đồng, cùng với việc kiểm soát chặt chẽ trên website, email và báo chí phát hành.
Các khách hàng và SEPs của họ nên giấu tên, đây như là một phần của sự thỏa hiệp đối với sự hoàn tất sản phẩm của họ. Các mẫu khuyến mãi phải được bảo vệ, được diễn tả sự cấm và không thể sử dụng, không
tiết lộ sự giống nhau và mối liên kết của khách hàng và chỉ đưa ra khi khách hàng đồng ý và ký vào yêu cầu của nhà in cho việc sử dụng các mẫu khuyến mãi của họ.
Rủi ro về vật liệu in: Những vật liệu đặc biệt được sử dụng để chuyển các hàng hóa tiêu dùng thành SEPs phải được bảo vệ để tránh bị cướp, trộm. Việc tính toán in ấn phải chính xác và tất cả các tờ giấy chưa in, các tay sách, và các tờ giấy thừa phải được lưu trữ ở khu vực hạn chế tiếp cận cho đến khi nó bị tiêu hủy. Các sản phẩm hoàn chỉnh và các hao phí dôi ra phải được tính toán cùng với các thiết bị hoặc phần mềm, phầm cứng đặc biệt dùng trong việc chuyển các mẫu không bảo mật thành SEPs.
Rủi ro về dây chuyền cung cấp: Nói chung, dây chuyền cung cấp phải được xác định và phương thức thi hành tương ứng để đảm bảo rằng tính thống nhất của SEPs không bị dàn xếp mọi cách từ khách hàng/người khởi đầu đến người phát hành/bán lẻ.
Đó cũng là trách nhiệm của nhà in bảo mật trong việc đảm bảo hết mình rằng SEPs sẽ được sản xuất và lắp đặt an toàn và các công nhân lắp đặt được bảo đảm và tin tưởng đối với khả năng của họ.
Rủi ro bị xâm phạm thiết bị: Việc hạn chế truy cập đối với thiết bị, sự sản xuất, lưu kho, quy trình làm việc, khu vực lắp đặt, nhận hàng bởi khách hàng và nhân sự công ty phải được kiểm soát cả bên phía cung cấp lẫn nhà in bảo mật. Mức độ đối với những yếu tố cần truy cập phải được kiểm soát tùy thuộc vào loại và cấp độ của vật liệu bảo mật, công nghệ và các thiết bị dùng trong việc sản xuất SEPs.
Rủi ro về nhân sự: Cả nhà in và nhà cung cấp cần phải có những chính sách công ty tương ứng - soạn thảo chi tiết - cho việc đưa ra khu vực sử dụng, cách thức kiểm tra, ghi nhận lỗi, đánh giá mức độ tin cậy, và các thủ tục chấm dứt cho tất cả nhân sự liên quan trong quy trình in bảo mật.
Rủi ro thất bại và thiên tai: Thiên tai có thể gây ra do những nguyên nhân như lốc xoáy, bão lụt, động đất hoặc kết quả của quá trình phạm tội như bẻ khóa đột nhập, cướp có vũ khí và đốt phá. Nhà sản xuất sản phẩm bảo mật phải có khả năng cung cấp chính xác ngày giờ của các nhân sự và hoạt động của khách thăm và những phương thức xử lý đối với vi phạm bảo mật.
Các nhà in bảo mật cũng nên bàn về số nợ đạo đức và tài chính của họ trong sự hợp pháp để đảm bảo họ được bảo hiểm và cho ghi nợ một cách hợp lý và kinh tế trong trường hợp có thiên tai ảnh hưởng đến việc sản xuất và phân phối SEPs.
Các kế hoạch, các chính sách, phương thức và thủ tục phải được lập sẵn để đáp ứng đối với các loại thiên tai này và nhanh chóng tạo sự phục
hồi thành công cho doanh nghiệp. Như là một phần của sự thành công, các doanh nghiệp lại có thể sản xuất, theo dõi và xác minh SEPs của mình.
Bảng 9.1: Các kiểm kê từng phần của rủi ro và quản lý rủi ro. Bảng ở
trên chỉ là chỉ dẫn sơ qua cho nhà in và cung cấp bảo mật. Bởi vì tính đa dạng của SEPs và thị trường mà họ hoạt động trong đó, mà sự quan trọng của các lời chỉ dẫn quản lý và kỹ thuật này là rất có giá trị và có
thể áp dụng tùy trường hợp.
• Kế hoạch bảo mật phải được đặt ra và ghi chép
• Nhà quản lý bảo mật phải do tổ chức bầu
• Báo cáo về các hoạt động bảo mật (SARs)
• Các xem xét thiết bị
• Các xem xét về mặt đạo đức
• Các phương thức theo dõi, xác minh
• Sự sắp xếp các kế hoạch
• Các khoản nợ (rủi ro thua lỗ)
• Tiêu hủy đồ thừa, hao phí
• Các giấy phép đi vào, ID
• Thanh toán tiền lương công nhân
• Các chính sách kết thúc hợp đồng
• Truy cập thiết bị
• Kết hợp che phủ và khóa lại
• Các tập tin bảo mật, an toàn bảo mật, và lưu trữ bảo mật
• Các màn hình giám sát
• Chính sách giấu tên khách hàng
• Tài sản bị mất hoặc bị đánh cắp
• Khu vực hoạt động bảo mật (khu làm việc)
• Kho bảo mật
• Kiểm tra và kiểm soát việc kiểm kê
• Các bằng chứng chuyển hàng
• Bảo hiểm và khế ước
• Việc an toàn trong vận chuyển hàng hóa
• Xác nhận khách hàng, người cung cấp, người mua, môi giới, chuyển hàng, phát hành và người bán lẻ
• Các quy định và kiểm soát khách thăm
Mức độ của các rủi ro trên phải được quản lý dựa trên SEPs được sản xuất, các sản phẩm bị phá hủy, số tiền nợ và ảnh hưởng của xã hội có thể là hậu quả của sản phẩm bị làm giả sẵn có trên thị trường.
Dĩ nhiên, càng nhiều sự bảo đảm trong cung cấp, sản xuất, phân phối các sản phẩm bảo mật thì chi phí phải gánh chịu cũng tăng theo. Càng nhiều giá trị được thêm vào trong SEPs, thì phải làm cân bằng khi xem xét ROI. Các rủi ro được kể trên thì rất là đại chúng và cần nhiều định nghĩa cũng như sự mở rộng thêm vào mỗi loại cho nhà cung cấp, nhà in, khách hàng liên quan đến in bảo mật (xem bảng 9.1).