جامعه
برای تامین نیازهای اطلاعاتی خود به طور روزافزون به سیستمهای اطلاعاتی
حسابداری وابستگی پیدا کرده است و سیستمهای اطلاعاتی حسابداری خود به طور
وسیع در حال گسترش و پیچیدگی است. به موازات افزایش پیچیدگی سیستم اطلاعاتی
حسابداری و وابستگی جامعه بر این سیستم، شرکتها نیز با مخاطرات
فزایندهای در مورد سیستمهای اطلاعاتی خود روبرو میشوند. سیستم اطلاعاتی
یک شرکت غالباً با چهار نوع تهدید روبروست:
1-حوادث طبیعی و سیاسی مثل آتشسوزی، طوفان، جنگ، ….
2-خطاها و خرابیهای نرمافزاری و سختافزاری.
3-بیدقتی
و سهلانگاری (اقدامات غیرعمومی) مثل سهلانگاری و قصور افراد دراجرای
صحیح روشها، عدم وجود آموزشهای مناسب، نبودن سرپرستی صحیح.
4-اقدامات عمومی (جرایم رایانهای) مثل سرقت رایانهای، خرابکاری سیستم …
از
این روز اجرای کنترلهای کافی و ایمنیهای مناسب بر روی منابع اطلاعاتی هر
بنگاه تجاری باید در اولویت مدیریت ارشد آن بنگاه تجاری باشد که بدین
منظور انواع کنترلهای داخلی مورد استفاده شرکتها به منظور حصول اطمینان
از صحت و درستی سیستم اطلاعاتی حسابداری مورد بررسی قرار خواهد گرفت.
.
فناوری اطلاعاتی، فرصتهای ویژهای را برای حل مسائل تجاری راهبردی و فنی
ارائه میکند. اما دروازه فناوری اطلاعات همیشه به روی تهدیدات سیستم
اطلاعات حسابداری باز است و بالطبع در معرض خطراتی قرار میگیرد که برای
سیستمهای اطلاعاتی حسابداری پذیرفتنی است. ارزیابی خطر مذکور از دو جهت
اهمیت دارد:
1-از
دیدگاه مدیریت: این ارزیابی از خطر برای تصمیمگیری مناسب در مورد ایجاد
رویهها و سیستمهای کنترل داخلی جدیدی ضروری است که برای حفاظت یکپارچه و
مطمئن از سیستمهای اطلاعاتی مستقر میشود.
2-از دیدگاه حسابرسان: ارزیابی خطرات مربوطه به تهدیدات سیستم کنترل داخلی سازمان معمولاً جزیی ضروری از کار حسابرسان بوده است.
به
هر حال قانون ساربینز-اکسلی (2002) مسئولیت پیادهسازی به نگهداری و
ارزیابی سیستم کنترلهای داخلی را به مدیریت واگذار کرده و آنها را ملزم
کرده تا ارزیابی اثربخش کنترلهای داخلی را در گزارش سالانه سازمان مدنظر
قرار دهند.
تکنیکهای سوء استفاده و تقلب رایانه ای:
اسب
تروا مجموعهای از دستورهای رایانهای غیرمجاز در یک برنامه مناسب و مجاز
است. دستورهای غیرمجاز مزبور در یک زمان از قبل مشخص شده یا در شرایط از
پیش تعیین شدهای، اعمال غیرقانونی را انجام میدهند. برای مثال، برای
هزاران مشترک مستقیم آمریکایی پیامهایی حاوی هدیة یک نرمافزار رایگان
ارسال میشود. کاربرانی که ضمایم پیام را باز میکنند ناآگاهانه اسب تروا
را راها میکنند و اسب تروا به صورت مخفی و سری نام حساب و کلمة عبور مشترک
را کپی کرده و آن را برای فرستندة پیام ارسال می کند.
تکنیک
گردکردن به پایین به طور مکرر توسط مؤسسات مالی پرداختکننده بهره استفاده
میشود. در برخی سناریوها، برنامهنویس، برنامة محاسبة بهره را به شکلی
طراحی میکند که محاسبات بهره را تا دو رقم اعشار به پایین گرد میکند.
مبالغ کمتر از یک سنت، به دلیل گردکردن به پایین، از محاسبات بهره کسر و به
حساب برنامهنویس یا شخصی که مسئولیت کنترل حسابها را به عهده دارد، واریز
میشود. کسی متوجه این موضوع نمیشود زیرا، کلیه دفاتر تراز هستند.
مبالغ کمتر از یک سنت وقتی با هم جمع میشوند رقم قابلتوجهی میشود به ویژه اگر نرخ بهره به صورت روزشمار محاسبه شود.
با
استفاده از تکنیک سالامی پول های خرد و ناچیز طی یک دوره زمانی اختلاس
میشود. برای مثال, رئیس حسابداری ناراضی یک شرکت تولیدی در حال رشد در
کالیفرنیا با کمک کارمندان خود از تکنیک سالامی استفاده کرد. او سیستم
رایانه ای شرکت را برای دستکاری و افزایش سیستماتیک بهای تمام شده کلیه
محصولات شرکت به میزانی کمتر از یک درصد , به کار گرفت. افزایش های مزبور
به حساب یک مشتری جعلی منظور و سپس توسط حسابدار شرکت اختلاس شد.طی چند ماه
هزینه های شرکت به صورت تقلب امیز به میزانی کمتر از یک درصد افزایش پیدا
کرد. به دلیل اینکه کلیه هزینه های شرکت با هم و به یک نسبت افزایش پیدا می
کرد , حساب یا هزینه خاصی توجه کسی را به تقلب جلب نمی کرد.حسابدار شرکت
زمانی دستگیر شد که سیستم هشدار دهنده بانک توجه رئیس بانک را به چکی جلب
کرد که فرد متقلب سعی داشت چک مزبور را نقد کند ولی قادر به بازشناختن نام
شرکت جعلی نبود.
درپشتی
یا دریچه پشتی، راهی برای ورود به سیستم و دور زدن کنترلهای امنیتی سیستم
است. برنامه نویسان غالبآ درهای پشتی را برای اصلاح برنامه ورفع اشکالات
سیستم در حین طراحی در سیستم قرار میدهند و معمولآ آنها را قبل از اجرای
سیستم حذف می کنند. اگر در پشتی قبل از اجرای سیستم حذف نشود, هر کسی این
در را شناسائی کند می تواند وارد برنامه شود و تقلب کند.
کلاه
گذاشتن اطلاعاتی، تغییر دادهها و اطلاعات قبل، طی یا پس از ورودبه سیستم
اطلاعاتی است. تغییر میتواند با حذف، دستکاری یا اضافهکردن اطلاعات کلیدی
به سیستم، انجام شود.
در
تظاهر یا نقشبازی کردن، فرد متقلب با بازیکردن نقش یک کاربر مجاز، امکان
دسترسی به سیستم را به دست میآورد. این روش مستلزم این است که متقلب
شمارة شناسایی و کلمة عبور کاربر مجاز را بداند. فرد متقلب زمانی که وارد
سیستم میشود از تمام مزایای یک کاربر مجاز برخوردار میشود.
در
مهندسی اجتماعی، فرد متقلب یک کارمند را برای دریافت اطلاعات مورد نیاز
برای ورود به سیستم فریب میدهد. افراد متقلب ممکن است عنوان کنند که
مسئولیت انجام یک تحقیق امنیتی را به عهده دارند و کارمندان را وادار کنند
تا اطلاعات محرمانه را در اختیار آنها قرار دهند.
بمب
ساعتی سیستمی، برنامهای است که تحت شرایط خاص عمل میکند. یا یک زمان
خاصی موجب کشیدن ماشة آن میشود و عمل میکند و هنگامی که ماشه بمب کشیده
شد، انفجار بمب موجب خرابی سیستم، آسیبدیدگی برنامهها، دادهها و اطلاعات
میشود. بیشتر بمبها توسط برنامهنویسان ناراضی طراحی میشوند که با شرکت
مشکل داشته و از ناحیه آن شرکت تحت فشار هستند."تیموتی لوید" یک بمب ساعتی
سیستمی را سه هفته پس از اخراج از شرکت مهندسی اومگا منفجر کرد. بمب مزبور
به دلیل پاک کردن کلیه نرم افزار های شبکه , داده ها و اطلا عات شرکت,
خسارتی به مبلغ 10 میلیون دلار وارد کرد.
نفوذ
کردن یا تجاوز کردن، دسترسی غیرمجاز و استفاده از سیستم رایانهای به
وسیلة رایانههای شخصی و شبکة ارتباط از راه دور است. رخنهگران قصد آسیب
رساندن به سیستم را ندارند. آنها بیشتر به قصد مطرحشدن و کنجکاوی وارد
سیستمها میشوند.
رفتگری
یا جستجوی زبالهدان، دستیابی به اطلاعات محرمانه از طریق جستجو در ثبتها،
اسناد و مدارک شرکت است. دامنة شیوه رفتگری از جستجوی ظروف زباله شرکت
برای به دستآوردن گزارشهای ستاده یا نسخههای کپیشده از اطلاعات محرمانه
تا پویش حافظة رایانه است.
شایعهسازی
اینترنتی استفاده از اینترنت برای انتشار اطلاعات غلط یا گمراهکننده
دربارة شرکتها است. این کار را میتوان به چند روش انجام داد. پایمهای
تحریکآمیز در گفتگوی همزمان بر روی اینترنت، ایجاد سایتهای وب و پخش
شایعات مختلف از این دسته هستند.
شکستن
کلمه عبور هنگامی رخ میدهد که یک مزاحم به پدافند و سیستم دفاعی نفوذ
میکند و فایلهای حاوی کلمههای عبور معتبر را به سرقت میبرد، آنها را
کدگشایی کرده و برای دسترسی به منابع سیستمی از قبیل فایلها، برنامهها و
اطلاعات از آنها استفاده میکند.
طبقه بندی تقلب رایانه ای:
یک
روش برای طبقهبندی تقلب رایانهای، استفاده از مدل پردازش داده شامل
ورودی، پردازشگر، دستورهای رایانهای، ذخیرهسازی دادهها و ستادهها است.
ورودی.سادهترین
و متداولترین راه ارتکاب یک تقلب تغییر ورودیهای رایانه است. این روش
مهارتهای رایانهای کمی لازم دارد. فرد متقلب کافی است بداند سیستم چگونه
کار میکند تا بتواند از خود ردّی به جای نگذارد.
متقلبی
یک حساب در بانک نیویورک افتتاح کرد. او به کمک دستگاه چاپگر برگههای
واریز وجه خالی چاپ کرد. برگههای مزبور شبیه برگههایی بود که در باجه
بانک در دسترس مشتریان بود با این تفاوت، که شماره حساب او در این برگهها
کدگذاری شده بود. در یک صبح زود، او کلیه برگههای تقلبی خود را جایگزین
برگههای موجود در باجههای بانک کرد. طی سهروز، مشتریان برای واریز وجه
از برگههای تقلبی مزبور استفاده میکردند و کلیة واریزهای مزبور به حساب
فرد متقلب منظور می شد. پس از سه روز، فرد متقلب پولهای موجود در حساب خود
را برداشت کرد و ناپدید شد. او از یک نام مستعار استفاده کرد. نام او نشان
او هرگز کشف نگردید و هیچگاه هم پیدا نشد.
در
تقلب موجودی کالا، شخص متقلب می تواند دادهها و اطلاعاتی وارد سیستم کند
که نشان دهند موجودی کالای مسروقه, اسقاط شده است. برای مثال، چند کارمند
در شرکت راهآهن ایست کاست (East Coast) اطلاعاتی وارد سیستم شرکت کردند که
نشان میداد بیش از 200 واگن مسافربری اسقاطی یا خرابشده است. آنها
واگنهای مزبور را از سیستم راهآهن خارج کرده و پس از رنگآمیزی دوباره
آنها را فروختند.
در
تقلبهای حقوق و دستمزد، شخص متقلب می تواند با هدف افزایش حقوق خود،
ایجاد یک کارمند جعلی یا نگهداشتن یک کارمند بازنشسته در لیست حقوق،
دادههایی وارد سیستم کند. در دو روش اخیر، شخص متقلب سعی می کند چکهای
غیرقانونی مربوط را دریافت کرده و به وجه نقد تبدیل کند.
در
تقلب دریافتهای نقدی، شخص متقلب, اختلاس را با دستکاری دادههای ورودی به
سیستم، پنهان میکند. برای مثال، یک کارمند در استادیوم ورزشی و تران
آریزونا بلیتها را به قیمت کامل به مشتریان میفروخت و آنها را به عنوان
فروش بلیتهای نیمبها وارد سیستم میکرد و مبلغ مابهالتفاوت را برای خود
برداشت میکرد.
پردازشگر.
تقلب رایانهای میتواند از طریق استفاده غیرمجاز از سیستم و سرقت خدمات و
زمان رایانه انجام شود. برای مثال، برخی شرکتها به کارکنان خود جازه
نمیدهند که از رایانههای شرکت برای استفاده شخصی یا فعالیتهای تجاری خارج
از شرکت استفاده کنند. تخلف از این سیاست یک تقلب محسوب میشود. در حالی
که بیشتر مردم این عمل را یک تقلب تلقی نمیکنند.
اطلاعات.
تقلب رایانهای میتواند با تغییر یا خرابکردن فایلهای اطلاعاتی شرکت یا
کپیبرداری، استفاده یا بررسی بدون مجوز آنها، انجام شود. نمونههای متعددی
از درهمریختن، تغییر یا خرابکردن فایلهای اطلاعاتی توسط کارکنان ناراضی
وجود دارد. در یک قضیه، کارمندی کلیه برچسبهای بیرونی فایلها را از روی
صدها نوار پاک کرد. در مورد دیگری، کارمندی از یک آهنربای قوی برای
درهمریختن کلیه اطلاعات موجود در فایلهای مغناطیسی استفاده کرد.
همچنین،
اطلاعات شرکت میتواند به سرقت رود. در یک قضیه، مدیر دفتر وال استریت
اطلاعاتی در مورد برنامههای تحصیل سهام و ادغامهای تجاری آینده در فایل
واژهپردازی پرکت پیدا کرد. او این اطلاعات را به دوستش فروخت و دوستش نیز
با انجام معاملات غیرقانونی سهام میلیونها دلار پول به دست آورد
ستاده.
تقلب رایانهای میتواند با سرقت یا استفادة ناصحیح از ستادههای سیستم
انجام شود. ستادههای سیستم معمولاً روی مانیتور نمایش داده میشوند یا روی
کاغذ چاپ می شوند. بدون حفاظت صحیح، ستادههای چاپشده یا نمایشداده شده
به راحتی با چشم قابل مطالعه بوده و امکان کپیبرداری غیرمجاز از آنها وجود
دارد. تحقیق انجام شده توسط یک مهندس هلندی نشان میدهد که بسیاری از
مانیتورهای رایانهها سیگنالهایی ساطع میکنند که میتوان آنها را توسط
تجیهزات الکترونیکی خیلی ارزان دریافت، بازسازی کرده و بر روی صفحه
تلویزیون نمایش داد. در شرایط ایدهآل، این سیگنالها را میتوان از فاصله
دو مایلی از ترمینالها دریافت کرد..
شیوههای کاهش احتمال وقوع تقلب:
برخی
از مشاوران حرفهای رایانه معتقدند که مؤثرترین روش دستیابی به امنیت
سیستم، اعتماد به صداقت و درستی کارکنان شرکت است. در حالی که تحقیقات نشان
می دهد اکثر تقلبها توسط کارکنان سابق و فعلی صورت میگیرد. بنابراین،
کارکنان قویترین و ضعیفترین ابزار کنترلی هستند.
1-استفاده از رویهها و مقررات مناسب برای استخدام و اخراج.
یکی
از مهمترین مسئولیتهای یک مدیر استخدام، نگهداری و به کارگیری کارکنان با
صلاحیت و درستکار است. به طور مشابه، شرکتها باید هنگام اخراج کارکنان خود
خیلی مواظب باشند. ارتباط کارمندان اخراجی باید به سرعت با شغلهای حساس
قطع شود و به منظور پیشگیری از خرابکاری یا نسخهبرداری از دادهها و
اطلاعات محرمانه قبل از ترک شرکت، آنها را از دسترسی به سیستم رایانهای
منع کرد.
2-آموزش روشهای ایمنی سیستم و روشهای پیشگیری از تقلب به کارکنان.
بسیاری
از مدیران ارشد اجرایی معتقدند که آموزش و سطح علمی کارکنا ن مهمترین عنصر
در هر برنامة امنیتی است. تقلب در محیطی که کارکنان آن اعتقاد دارند امنیت
برای همه است، کمتر اتفاق میافتد. برای ایجاد و توسعه چنین فرهنگی، شرکت
باید کارکنان خود را در حوزههای زیر آموزش و تعلیم دهد:
الف)اقدامات
امنیتی. کارکنان باید در زمینه اقدامات امنیتی به خوبی آموزش داده شوند،
اهمیت اقدامات امنیتی را بدانند و برای اجرای جدی آنها تشویق شوند. امنیت
باید با تعلیم، تربیت و پیگیری در میان کارکنان نهادینه شود.
ب)افشای
تلفنی. باید به کارکنان آموزش داده شود و بدانند که نباید بدون آگاهی و
اطمینان از ایمنبودن خطوط تلفن، اطلاعات محرمانه را ازطریق تلفن ارسال
کنند. کارکنان باید یاد بگیرند که به امنیت خطوط اطمینان پیدا کنند. مثلاً
با طرح سئوالهای ظریف و معینی که تنها کاربران مجاز قادر به پاسخ آنها
هستند، هویت و صلاحیت کاربر را بررسی و کنترل کنند.
پ)آگاهی
از تقلب. کارکنان باید از تقلب آگاه شوند، تقلبهای رایج و متداول و خطرات
آنها را بشناسند. کارکنان باید بیاموزند چرا بعضی از افراد مرتکب تقلب
میشوند و چگونه میتوان از وقوع تقلب پیشگیری یا آن را کشف کرد.
ت)رعایت
آیین رفتار حرفهای. شرکت باید استانداردهای آیین رفتار حرفهای را در
فعالیتها و دستورالعملهای شرکت از قبیل اطلاعیههای پرسنلی مطرح و ترویج
کند. رفتارهای قابل پذیرش و رفتارهای غیرقابل پذیرش باید تعریف شوند به
نحوی که کارکنان از آیین رفتار حرفهای و مشکلات ناشی از عدم رعایت آن گاه
شوند
ث)مجازات
رفتارهای آیین رفتار حرفهای. کارکنان باید از نتایج و عواقب (توبیخ، پیگرد
قانونی، اخراج و غیره) رفتارهای خلاف آیین رفتار حرفهای آگاه شوند. این
موضوع نباید به عنوان یک تهدید بلکه باید به عنوان نتیجه عمل خلاف آیین
رفتار حرفهای مطرح شود.
3-الزامی
کردن امضای قراردادهای محرمانه. کلیه کارکنان، فروشندگان و پیمانکاران
باید قرارداد محرمانه نگهداشتن اطلاعات شرکت را امضا کره و به مفاد این
قرارداد متعهد باقی بمانند.
چرا تهدیدهای سیستمهای اطلاعاتی حسابداری افزایش یافته است؟
با
توجه به مشکلات مزبور، کنترل و امنیت صحت و قابلیت اعتماد و اتکای
سیستمهای رایانهای از اهمیت بسیار زیادی برخوردار شده است. بسیاری از
مدیران سیستمهای اطلاعاتی بیان کردهاند که ریسک کنترل در چند سال اخیر
افزایش یافته است. برای مثال، مطالعات اخیر مؤسسه حسابرسی کوپرز و لیبراند
نشان داد که بیش از 60 درصد ازسازمانهای بریتانیایی نقص کنترلی عمدهای را
در سیستم اطلاعاتی خود در دو سال اخیر تجریه کردهاند. مطالعات در سایر
کشورها آمارهای مشابهی را نشان میدهد. برخی از دلایل افزایش مشکلات امنیت
سیستمهای اطلاعاتی به شرح زیر است:
1-افزایش
تعداد سیستمهای سرویسدهنده-سرویسگیرنده منجر به دستیابی تعداد زیادی از
کاربران به اطلاعات میشود. رایانهها و سرویسدهندهها در همه جا وجود
دارند. در روی بیشتر میزهای کاری رایانههای شخصی وجود دارد و رایانههای
کیفی همیشه همراه مردم بوده و آنها را یاری میدهند. برای مثال، شورون
(Chevron) 33000 رایانة شخصی در اختیار دارد.
2-به
دلیل اینکه شبکههای محلی و سیستمهای سرویسدهنده-سرویسگیرنده دادهها
را برای کاربران متعددی توزیع میکنند، کنترل انها مشکلتر از سیستمهای
رایانههای بزرگ و متمرکز است.
3-مشکلات
کنترل رایانهها غالباً کماهمیت و جزئی پنداشته می شوند و شرکتها خطر از
بین رفتن اطلاعات حساس را به عنوان یک تهدید باور نکردنی تلقی میکنند.
برای مثال، کمتر از 25% از 1250 شرکت مورد مطالعة ارنست و یانگ معتقد بودند
امنیت رایانه یک موضوع بینهایت مهم است. این رقم در تحقیقات سال گذشته به
35% رسید.
تشریح امنیت:
متن
زیر یک تست سریع و آموزنده میباشد که به برخی از سئوالات شما در زمینه
امنیت اطلاعات پاسخ میدهد. همانطور که خواهید دید به صورت پرسش و پاسخ
بیان شده است.
1-اگر امنیت اطلاعات را افزایش دهیم، کارآیی کاهش پیدا میکند. درست یا غلط؟
درست-
امنیت اطلاعات هزینه مربوط به خودش را دارد. افزایش امنیت اطلاعات ممکن
است به روالهای مؤثر اضافی از جمله «تکنولوژی» و «سرمایهگذاری» نیاز داشته
باشد.
افزایش
امنیت اطلاعات ممکن است پیشرفت جریان کار را با کندی مواجهه کند و این امر
ممکن است در کارایی افرادو شبکه شما نمود پیدا کند. امینت اطلاعات ممکن است
به معنی قفلکردن ایستگاههای کاری و محدودکردن دسترسی به اتاقهای
کامپیوتر و سرور شما باشد. هر سازمانی باید هنگامی که به مقوله امنیت
اطلاعات یپردازد به صورت اندیشمندانهای بین خطرات (Risks) و کارآیی توازن
برقرار کند.
2-حملاتی که توسط نفوذگران خارجی انجام میگیرد نسبت به حملات کارمندان داخلی هزینه برتر و خسارتبارتر میباشد. درست یا غلط؟
غلط-
حملات کارمندان داخلی نوعا بسیار خسارتبارتر از حملات خارجی گزارش شده
است. بر طبق آمارهای انسیتو امنیت کامپیوتر (Computer Security Inistitu)
میانگین حملات خارجی 57000 دلار و میانگین هزینه حملات داخلی 2700000 دلار
برآورد شده است.
کارمندان
داخلی اطلاعات محرمانه بیشتری درباره سیستمهای هدف در دسترس دارند از آن
جمله میتوان اطلاعاتی درباره فعالیتهای دیدهبانی (Monitoring) را نام
برد ( به خصوص نقاط ضعف این فعالیتها)
3-پیکربندی یک دیوار آتش (Firewall) به صورت کامل ما را در مقابل حملات خارجی ایمن میکند. درست یا غلط؟
غلط-
آمارهای انسیتو امنیت کامپیوتر نشان میدهد که 3/1 شرکتهایی که از دیواره
آتش استفاده کردهاند هنوز از دست نفوذگران بداندیش در امان نمانده اند.
اولین کارکرد دیواره آتشبستن پورتهای مشخص میباشد به همین دلیل در بعضی
از مشاغل نیاز است که بعضی از پورتها باز باشد. هر پورت باز میتواند یک
خطری را برای سازمان ایجاد کند و یک معبر برای شبکه شما باشد.
یک دیواره آتش به تنهایی نمیتواند یک راهحل جامع باشد و باید از آن به همراه سایر تکنولوژیهای روشهای ترکیبی استفاده کرد.
4-امنیت اطلاعات به عنوان یک مبحث تکنولوژیکی مطرح است درست یا غلط؟
غلط-
امنیت اطلاعات یک پیآمدتجاری- فرهنگی می باشد. یک استراتژی جامع امنیتی
اطلاعات باید شامل سه عنصر باشد: روالها و سیاستهای اداری، کنترل
دسترسیهای فیزیکی، کنترل دسترسیهای تکنیکی. این عناصر- اگر به صورت
مناسبی اجرا شود- مجموعاً یک فرهنگ امنیتی ایجا میکند. بیشتر متخصصین
امنیتی معتقدند که تکنولوژیهای امنیتی فقط کمتر از 25 درصد مجموعه امنیت
را شامل میشوند. حال آنکه در میان درصد باقیمانده آنچه که بیشتر از همه
نمود دارد، «افراد» میباشند. (کاربر انتهایی) افراد یکی از ضعیفترین
حلقهها، در هر برنامه امنیت اطلاعات میباشند.
5-هرگاه که کارمندان داخلی ناراضی از اداره اخراج شوند، خطرات امنیتی از بین میشوند. درست یا غلط؟
غلط-
به طور واضح غلط است. برای شهادت غلطبودن این موضوع میتوان به شرکت
Meltdown اشاره کرد که لشکری از کارمندان ناراضی اما آشنا به سرقتهای
کامپیوتری برای خود ایجاد کرده بود. بر طبق گفتههای FBI حجم فعالیتهای
خرابکارانه از کارمندان داخلی افزایش یافته است. همین امر سازمانها را با
خطرات جدی در آینده مواجهه خواهد کرد.
6-نرم افزارهای بدون کسب مجوز (Unauthorized Software) یکی از عمومیترین رخنههای امنیتی کاربران داخلی میباشد. درست یا غلط؟
درست- رخنهها (Breaches) میتواند بدون ضرر به نظر بیاید، مانند Screen Saverهای دریافتشده از اینترنت یا بازیها و…
نتیجه
این برنامهها، انتقال ویروسها، و… میباشد. اگرچه رخنهها میتواند
خطرناکتر از این باشد. ایجاد یا نصب یک برنامه کنترل از راه دور که
میتواند یک در پشتی (Backdoor) قابل سوءاستفادهای را در یک شبکه ایجاد
کند که به وسیله دیواره آتش محافظت نمیشود.
بر
طبق تحقیقاتی که توسط ICSA. Net و Global Integrity انجام شده است. بیش از
78 درصد گزارشها مربوط به ایجاد رخنه در نرمافزار دریافتی از افراد یا
سایتهای ناشناخته است.
7-خسارتهای ناشی از سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری میباشد. درست یا غلط؟
درست-
درست است که خطرهای مالی در سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری
میباشد ولی خطر مربوط به شهرت و اعتبار، آنها را بیشتر تهدید میکند.
سازمانها نیازمند این میباشند که مداوم سایتهای اطلاعرسانی را بازبینی
کنند تا به تهدیدهای احتمالی شبکههای خود خیلی سریع پی ببرند و در مقابل
آنها واکنش نشان دهند تا از خسارتهایی که ممکن است شهرت آنها را بر باد دهد
جلوگیری کنند.
8-رمزهای عبور میتواند جلو کسانی که دسترسی فیزیکی به شبکه را دارند، بگیرد. درست یا غلط؟
غلط- کلمات رمز نوعا خیلی کم میتوانند جلو کارمندان داخلی و خبره را بگیرند.
9-هیچکسی در سازمان نباید به رمزهای عبور دسترسی داشته باشد به جز مدیر امنیت شبکه. غلط یا درست؟
غلط-
هیچکس در سازمان نباید به کلمات رمز کاربران دسترسی داشته باشد،حتی مدیر
امنیتی شبکه! رمزهای عبور باید به صورت رمز شده (Encrypted) ذخیره شوند.
برای کاربران جدید ابتدا با یک رمز عبور ساخته شده اجازه ورود به شبکه داده
میشود و پس از آن باید روالی قرار داد تا کاربران بتوانند در هر زمانی
کلمات رمز خود را تغییر دهند. همچنین باید سیاستهایی را برای مواردی که
کاربران رمزهای عبور خود را فراموش کردهاند در نظر گرفت.
نقش یک «اساسنامه امنیتی» در سازمان:
در
اغلب موارد، تشکیلات اقتصادی همچون شبکههای کامپیوتری در برابر تغییرات
فشرده و ناگهانی با ضعف و شکست مواجهه میشدند. یک پروژه ابتدایی امنیتی
نیز از این مقوله مستثنا نیست. هنگانی که من در شرکت «مارین» بودم آنجا
صحبت از هفت P بود:
Proper(صحت)
، )Priorقبل از هر چی)، )Planning طراحی)، )Preventsجلوگیری کردن از)،
)زیادی)Pretty،( یکنواختی) Poor، Performance (عملکرد) . آنها یک شبکه را
در حالت صحیحی نگه میداشتند. شما باید قبل از پیادهسازی هر چیزی، ابتدا
باید طرح و برنامه داشته باشید و سپس ابزار لازم را مهیا سازید. همیشه این
ضربالمثل را به خاطر داشته باشید که «یک کیلو پیشگیری بهتر از یک خروار
علاج است». امنیت شما بخشی از پیشگیری شما است. دلیل اینکه بیشتر تشکیلات
اقتصادی با شکست مواجه میشوند به این دلیل است که آنها هدف اصلی از این
تشکیلات را برای خود مشخص نمیکنند و نمیدانند که باید در آینده نیز
فعالیت خود را ادامه دهند! برای مثال، این درست نیست که به سادگی بگوییم
برای امنیت بالاتر شبکه خود نیاز به یک دیواره آتش داریم. شما باید به طور
دقیقی مشخص کنید که «چه چیزی» را «چگونه» میخواهید امن کنید. چه نوع از
################ را میخواهید شما پیادهسازی کنید؟ چه مقدار دسترسی را
میخواهید به کاربران خود اهداء کنید؟ فقط با پاسخدادن به این سئوالات و
سئوالهای دیگر است که میتوانید به طور دقیقی مشخص کنید که چه لازم دارید و
چه چیزی را باید خریداری کنید و به طور جزییتر برای دیواره آتش خود چه
سیاستی را در پیش بگیرید تا آنچه را که در نظر دارید را پیادهسازی کنید.
هدف اساسنامه امنیتی:
به
طور کلی، اساسنامه امنیتی برای این وجود دارد که هر کسی به طور دقیق و از
قبل تعریف شده بداند که در کار با منابع سازمان و تشکیلات چه کار انجام
دهد و روی آنها نیز تعهد لازم را داشته باشد. اساسنامه امنیتی نیاز دارد
که مشخص کند شما دارای چه استانداردهای امنیتی هستید. سیاستهای امنیتی
شماست که حکم میدهد آیا باید این اتفاق بیفتد یا خیر. اساسنامه امنیتی
شما باید مشخص کند که اهداف امنیتی شما چه هستند.
آیا
سازمان شما سعی میکند که فشارهای ناشی از ویروسها و کرمها را کاهش
دهد؟ آیا آنها سعی میکنند که خطرات دسترسیهای بیرونی را محدود کنند؟
نباید این وضعیتها را فراموش کرد و باید برای آنها چارهای اندیشید. حتماً
آنها را بنویسید و تعریف کنید. حتما بخشی را در مجموعه خود در نظر بگیرید و
به همراه افرادی که مراقب باشند تا قوانین امنیتی رعایت شوند و در صورتی
که گروهی از افراد این قوانین را در نظر نگرفتند با آنها برخورد مناسب صورت
گیرد. حتما سندی را نیز تهیه کنید تا به کاربران بگوید که «چرا شما باید
کارها را انجام دهید و چرا ما آنها را از شما میخواهیم».
آخرین
نکته، آنچه که باعث میشود اساسنامه امنیتی شما پابرجا بماند و یا شانس
خوبی برای اجرا شدن داشته باشد؛ این است که از طرف ردههای مدیریتی بالاتر
سازمان پشتیبانی شود.
نتیجه گیری:
در
دنیای سیستمهای اطلاعاتی حسابداری در محیطهای رایانه ای که هر لحظه در حال
تغییر و تحول است و هر روز به تبع پیشرفت تکنولوژی در حال تکامل است , و
متاسفانه به همان میزان , و حتی بیشتر, تهدیدات در این حوزه به شدت, هم به
لحاظ کیفی و هم به لحاظ کمی در حال افزایش است
در نتیجه بهتر است موارد زیر در جهت به حداقل رساندن تهدیدات امنیتی در سازمانها اجرا شود:
1-بررسی کنترلهای داخلی سازمان بطور ادواری به منظور اطمینان از موثر بودن آنها در پیشگیری از وقوع تقلب .
2-به منظور کشف تقلب باید کنترلهای جدیدی طراحی و مستقر شود.
3-باید به کارکنان درباره مباحث اخلاقی امنیتی و تقلب اموزشهای, لازم داده شود.
4-مشاوره با مهندسین و طراحان سیستم ها به گونه ای که همزمان با پیشرفت تکنولوژی ارزیابیهای پیشرفته ای هم به عمل اید.
5-اموزش
مدیریت امنیت سیستم چرا که مدیریت رده بالا ستاده های سیستم را به کار می
گیرد و نمی تواند از امنیت روزانه سیستم اگاهی پیدا کند.
6-با
ذخیره سازی مرتب اطلاعات از طریق نوارهای مغناطیسی و ابزارهای الکترونیکی و
همچنین افزایش سطح امنیت مکانهائی که در انها سرورها قرار دارند و...
میتوان خطرات فیزیکی و طبیعی را به حد اقل رساند.
7-با ایجاد و تهیه یک اساسنامه امنیتی در سازمان میتوان راهبرد امنیتی را هدفمند و خسارات امنیتی را به حداقل رساند.
منبع : وبلاگ حسابدار - امیرمیرزائی
خسته نباسین