Hệ thống thông tin được sử dụng trong công ty nhằm mục đích thu thập, xử lý, tổ chức và tóm tắt dữ liệu và thông tin. Khi dữ liệu càng nhiều, công ty càng cần chú trọng vào việc hiểu cũng như bảo vệ các dữ liệu đó khỏi bên thứ ba...
1. Rủi ro và các mối đe dọa hệ thống thông tin
1.1. Các mối đe dọa từ bên trong (Internal threads)
1.2. Các mối đe dọa từ bên ngoài (External threads)
2. Kiểm soát phát triển hệ thống thông tin (Information System Development Controls)
2.1. Các loại kiểm soát phát triển hệ thống
2.3. Bảo mật hệ thống thông tin (Information System Security)
3. Khắc phục thảm họa và sao lưu dữ liệu (Disaster recovery and data backup)
I. Mục tiêu
- Tìm hiểu cách phân chia nhiệm vụ kế toán (segregation of accounting duties) giúp tăng cường bảo mật hệ thống.
- Xác định các mối đe dọa (threads) và rủi ro (risk) đối với hệ thống thông tin, bao gồm thao tác nhập liệu (input manipulation), thay đổi chương trình (program alteration), thay đổi tệp trực tiếp, đánh cắp dữ liệu (data theft), phá hoại (sabotage), vi rút, mã độc Trojan (Trojan horses), trộm cắp và lừa đảo (phishing).
- Tìm hiểu cách sử dụng các biện pháp kiểm soát phát triển hệ thống để nâng cao tính chính xác, hiệu lực (validity), an toàn, bảo mật và khả năng thích ứng (adaptabilitiy) của các chức năng đầu vào, xử lý, đầu ra và lưu trữ của hệ thống.
- Xác định mục tiêu (objectives) của kế hoạch khắc phục thảm họa và xác định các thành phần của kế hoạch đó bao gồm các địa điểm nóng, ấm và lạnh (hot, cold and warm sites).
II. Nội dung
Hệ thống thông tin ngày càng đóng vai trò quan trọng trong hoạt động doanh nghiệp và nó cũng đi kèm với sự gia tăng rủi ro. Trong bài học này, chúng ta sẽ tìm hiểu về những rủi ro mà doanh nghiệp gặp phải do sử dụng hệ thống thông tin và các biện pháp kiểm soát chung (hoặc phổ biến) được sử dụng để giải quyết những rủi ro này.
1. Rủi ro và các mối đe dọa hệ thống thông tin
Hệ thống thông tin được sử dụng trong công ty nhằm mục đích thu thập, xử lý, tổ chức và tóm tắt dữ liệu và thông tin.
Khi dữ liệu càng nhiều, công ty càng cần chú trọng vào việc hiểu cũng như bảo vệ các dữ liệu đó khỏi bên thứ ba.
Các rủi ro bao gồm:
1.1. Các mối đe dọa từ bên trong (Internal threads)
Phần mềm và phần cứng máy tính bao gồm các thiết bị ngoại vi. Các thiết bị ngoại vi có thể tạo ra các lỗ hổng nghiêm trọng như phần cứng và phần mềm cốt lõi bị lộ do chúng cho phép truy cập gián tiếp vào các hệ thống cốt lõi.
1.2. Các mối đe dọa từ bên ngoài (External threads)
Các bên thứ ba có thể truy cập hệ thống thông tin bằng cách tấn công người và hệ thống của công ty theo nhiều cách khác nhau, bao gồm:
Để giải quyết những rủi ro này, hệ thống kiểm soát nội bộ của một tổ chức phải đảm bảo việc thiết kế, thực hiện và giám sát phù hợp các hệ thống thông tin để bảo vệ dữ liệu, tạo ra thông tin tài chính chính xác và giúp tổ chức đạt được các mục tiêu và mục đích của mình.
2. Kiểm soát phát triển hệ thống thông tin (Information System Development Controls)
Các biện pháp kiểm soát phát triển hệ thống thông tin được thiết kế với mục đích:
Trong các giai đoạn đầu vào, xử lý và đầu ra, các biện pháp kiểm soát được thiết kế để bảo vệ chống lại các mối đe dọa cả từ bên trong và bên ngoài.
Thiết kế của kiểm soát phát triển hệ thống phải có khả năng thích ứng để liên tục cung cấp sự bảo vệ trong một môi trường luôn thay đổi.
2.1. Các loại kiểm soát phát triển hệ thống
Các biện pháp kiểm soát phát triển hệ thống thông tin được chia thành 4 loại dựa trên các bước xử lý hệ thống.
Kiểm soát đầu vào (Input controls) |
Kiểm soát xử lý (Processing controls) |
Kiểm soát đầu ra (Output controls) |
Kiểm soát lưu trữ (Storage controls) |
|
|
|
|
2.2. Phân chia nhiệm vụ kế toán và bảo mật hệ thống (Segregation of Accounting Duties and Systems Security)
Hệ thống thông tin đảm nhận phân đoạn lưu trữ hồ sơ của quy trình, duy trì hồ sơ của tất cả các giao dịch và tác động của chúng trong toàn công ty. Vì vậy, cần phải tách biệt việc ủy quyền, lưu giữ hồ sơ và giám sát tài sản để ngăn chặn gian lận.
An ninh trong hệ thống thông tin phụ thuộc vào các yếu tố sau:
Nhân viên trong chức năng kế toán có thể sử dụng các dấu vết kiểm toán (audit trail) từ quá trình kiểm soát để phát hiện bất kỳ lỗi nào hoặc các chức năng ẩn để ngăn chặn và phát hiện hành vi trộm cắp, tham ô hoặc gian lận khác trong các tệp đầu vào.
2.3. Bảo mật hệ thống thông tin (Information System Security)
a. Bảo mật hệ thống thông tin (Information System Security)
Quyền truy cập vào dữ liệu được liên kết với thông tin đăng nhập của mỗi nhân viên. Nó giúp lưu giữ hồ sơ về mọi hành động được thực hiện và nhân viên đã thực hiện hành động đó.
Cơ sở dữ liệu không chỉ yêu cầu thông tin xác thực đăng nhập mà còn bao gồm các quy tắc nội bộ về việc thay đổi cơ sở dữ liệu. Các quy tắc bao gồm:
b. Bảo mật khỏi các mối đe dọa bên trong
Đối với mối đe dọa bên trong, công ty cần giữ máy tính điều khiển hệ thống điểm bán hàng và các máy chủ máy tính ở trong phòng có khóa, chỉ những nhân viên được ủy quyền mới có thể truy cập được. Các máy tính khác do nhân viên sử dụng cũng cần được khóa trong khu vực hạn chế chỉ dành cho nhân viên.
c. Bảo mật Internet (Internet Security)
Việc sử dụng Internet vốn đã rủi ro vì việc truyền dữ liệu được định tuyến thông qua các đường dẫn không thể đoán trước.
Để đảm bảo bảo mật, dữ liệu nhạy cảm phải được mã hóa để bảo vệ khỏi việc bị sao chép hoặc thay đổi trái phép khi dữ liệu truyền qua internet. Đặc biệt, hệ thống mạng không dây hiện nay bảo mật còn kém nên các công ty cần chú trọng bảo mật dữ liệu.
d. Mã hóa (Encryption)
Mã hóa là một biện pháp kiểm soát phòng ngừa được sử dụng để bảo vệ dữ liệu. Chương trình mã hóa được thiết kế để ngăn chặn truy cập ngoài ý muốn bằng cách sử dụng một hoặc nhiều khóa mã hóa (Encryption key).
Khóa mã hóa thường là một chuỗi ký tự đóng vai trò là tham số đầu vào để mở khóa hoặc hoàn tác mã hóa. Khóa mã hóa cũng có thể được coi là một tập hợp các hướng dẫn giúp trả lại dữ liệu về trạng thái ban đầu.
Việc sử dụng mã hóa cho các giao dịch và lưu trữ dữ liệu sẽ bổ sung thêm một lớp bảo vệ cho tất cả các bên liên quan.
e. Tường lửa (Firewall)
Tường lửa là hệ thống an ninh mạng nhằm bảo vệ công ty bằng cách giám sát, kiểm soát và hạn chế lưu lượng truy cập vào và ra.
Tường lửa được sử dụng để cho phép hoặc từ chối lưu lượng truyền thông một cách có chọn lọc dựa trên một bộ quy tắc định trước do quản trị viên công ty thiết kế.
3. Khắc phục thảm họa và sao lưu dữ liệu (Disaster recovery and data backup)
3.1. Mục tiêu
Doanh nghiệp phải xây dựng một kế hoạch khắc phục thảm họa hệ thống thông tin dữ liệu để đưa doanh nghiệp từ trạng thái bị gián đoạn sang trạng thái hoạt động nhanh chóng và hiệu quả nhất có thể khi gặp phải các rủi ro và mối đe dọa. Kế hoạch bao gồm các mốc thời gian cần để khôi phục và mức độ ưu tiên của từng thảm họa.
3.2. Các biện pháp sao lưu dữ liệu
Sử dụng dịch vụ sao chép dữ liệu |
Nhà cung cấp dịch vụ cung cấp bản sao lưu dữ liệu đơn giản hoặc đồng bộ hóa tệp hệ thống để đảm bảo ngăn ngừa mất dữ liệu và phối hợp các kế hoạch khôi phục giữa các hệ thống, ứng dụng, cơ sở hạ tầng khác nhau. |
Khôi phục thảm họa nội bộ |
Xây dựng cơ sở dữ liệu song song. Dữ liệu được lưu trữ ở cả hai cơ sở dữ liệu quá trình xử lý có thể được chuyển gần như ngay lập tức từ cơ sở này sang cơ sở khác. |
Sao lưu nhiều trung tâm dữ liệu |
Sử dụng thêm một trung tâm dữ liệu hoặc sử dụng công nghệ đám mây để lưu trữ. Có 02 phương pháp sao lưu: • Sao lưu toàn bộ • Sao lưu từng phần - Chỉ sao chép các mục dữ liệu đã thay đổi kể từ lần sao lưu cuối cùng. - Sao chép tất cả các thay đổi được thực hiện kể từ lần sao lưu đầy đủ cuối cùng. |
Cơ sở xử lý thay thế cho các biện pháp trên bao gồm:
Điểm lạnh (Cold site) |
Điểm nóng (Hot site) |
Điểm ấm (Warm site) |
|
|
|
3.3. Khắc phục thảm họa
a. Nhóm khắc phục thảm họa
Bao gồm các nhân viên quản lý hoạt động chính. Đối với tổ chức lớn hơn thì cần có thêm một nhà cung cấp dịch vụ khắc phục thảm họa.
b. Các bước khắc phục thảm họa
Tùy thuộc vào tổ chức, kế hoạch khắc phục thảm họa có thể được giới hạn trong việc khôi phục quá trình xử lý CNTT hoặc có thể mở rộng để khôi phục các chức năng trong khu vực người dùng cuối.
Các bước khắc phục thảm họa cơ bản bao gồm:
3.4. Đánh giá kế hoạch khôi phục thảm họa
Ưu điểm |
Nhược điểm |
Khi có sẵn kế hoạch khắc phục thảm họa, doanh nghiệp có thể tiếp tục hoạt động với sự gián đoạn tối thiểu và dòng tiền vẫn hoạt động. |
Có sẵn kế hoạch khắc phục thảm họa khiến công ty phải duy trì chi phí và nỗ lực cần thiết để thiết lập và duy trì các kế hoạch kinh doanh liên tục và kế hoạch khắc phục thảm họa |