Bài giảng Hệ thống thông tin quản lý - Chương 10: Vấn đề bảo mật và kiểm soát các hệ thống thông tin quản lý

CHƯƠNG 10 
Vấn đề bảo mật và kiểm soát các hệ thống thông tin quản lý 
Nội Dung 
Tính dể bị tổn thương của các Hệ thống thông tin 
Tạo lập môi trường kiểm soát 
Bảo đảm chất lượng hệ thống 
Tính dể bị tổn thương của các HTTT 
HTTT với dữ liệu lưu trữ trên các file máy tính có tiềm năng bị truy xuất bởi cá nhân & nhóm bên ngoài tổ chức Dữ liệu càng tự động thì càng dể bị tổn thương bởi sự phá hủy, sự gian trá, sai sót và sử dụng sai. 
Các công ty dựa trên máy tính để xử lý các giao dịch kinh doanh quan trọng có thể ko thực hiện được các chức năng kinh doanh nếu họ mất khả năng sử dụng máy tính trong vài ngày. 
Tính dể bị tổn thương của các HTTT:Nguyên nhân 
K hi khối lượng lớn dữ liệu được lưu dưới dạng điện tử, chúng sẽ dể bị tổn thương từ nhiều loại đe dọa hơn dữ liệu được lưu trữ thủ công. 
Các đe dọa đó là: 
Hư tổn phần cứng 
Hư tổn phần mềm 
Hành động của con người 
Sự thâm nhập 
Ăn cắp dữ liệu, dịch vụ, thiết bị 
Cháy 
Các vấn đề về điện 
Các sai sót của người dùng 
Chương trình thay đổi 
Các vấn đề truyền thông 
Tính dể bị tổn thương của các HTTT:Nguyên nhân 
Các đe dọa trên đến từ các yếu tố môi trường, tổ chức & kỹ thuật do các quyết định quản trị kém 
Sự tiến bộ trong phần mềm máy tính & truyền thông đã làm tăng thêm các thương tổn này: thông qua mạng truyền thông, các HTTT ở những nơi khác nhau được kết nối với nhau tiềm năng của việc truy xuất ko được cấp quyền, lạm dụng, gian trá là không giới hạn ở 1 nơi mà có thể xảy ra ở bất cứ điểm nào trên mạng 
Internet có các vấn đề đặc biệt vì nó được thiết kế 1 cách tường minh để được truy xuất 1 cách dể dàng bởi mọi người trên các HT máy tính khác nhau 
Tính dể bị tổn thương của các HTTT:Nguyên nhân 
Tính dể bị tổn thương của các HTTT:Nguyên nhân 
Hacker: người truy xuất ko được cấp quyền tới 1 mạng máy tính vì lợi nhuận, tội phạm hay ham thích cá nhân. Hacker dùng các cách như bom logic, trojan horses, denial of service attack 
Virus máy tính: phần mềm lây lan từ HT này đến HT khác, làm nghẻn bộ nhớ máy tính hay phá hủy chương trình, dữ liệu. 
Phần mềm Antivirus: được thiết kế để kiểm tra HT máy tính & các đĩa có chứa các loại virus máy tính 
Tính dể bị tổn thương của các HTTT:Nguyên nhân 
Thảm họa: cháy, mất nguồn điện backup, duplicate 
Bảo mật: chính sách, qui trình & các đo lường kỹ thuật được dùng để tránh truy xuất ko được cấp quyền, sự thay đổi, trộm cắp hay sự hư hỏng vật lý đối với HTTT 
Sai sót trong quản trị: có thể xảy ra ở bất kỳ điểm nào trong chu kỳ xử lý từ nhập liệu, sai sót chương trình, hoạt động máy tính & phần cứng 
Tính dể bị tổn thương của các HTTT:Các quan tâm đối với người sử dụng & người xây dựng HT 
Tính dể bị tổn thương của các HTTT:Các quan tâm đối với người sử dụng & người xây dựng HT 
Các điểm trong chu kỳ xử lý có thể xảy ra sai sót 
Tính dể bị tổn thương của các HTTT:Vấn đề chất lượng HT: phần mềm & dữ liệu 
P hần mềm: bug & nhược điểm trong mã chương trình do độ phức tạp của mã ra quyết định / chuyển hướng không thể xóa bỏ hoàn toàn. 
Dữ liệu: không chính xác, không kịp thời, không thống nhất với các nguồn thông tin khác có thể tạo các vấn đề nghiêm trọng trong điều hành và tài chánh đối với doanh nghiệp. 
Tạo lập môi trường kiểm soát 
Để tối thiểu hoá các sai sót, thảm họa, gián đoạn dịch vụ, tội phạm máy tính và sự vi phạm bảo mật, các chính sách và qui trình đặc biệt cần phải được kết hợp trong việc thiết kế và triển khai thực hiện HTTT. 
Kiểm soát: gồm các phương pháp, chính sách và qui trình tổ chức để đảm bảo sự an toàn cho tài sản của tổ chức, độ chính xác và tin cậy của các mẩu tin, sự tuân thủ hoạt động điều hành theo các chuẩn quản trị. 
Tạo lập môi trường kiểm soát:  Các kiểm soát tổng quát & kiểm soát ứng dụng 
Kiểm soát tổng quát: quản lý việc thiết kế, bảo mật, sử dụng chương trình máy tính, và việc bảo mật của tập tin dữ liệu 1 cách tổng quát xuyên suốt cơ sở hạ tầng công nghệ thông tin của tổ chức. Bao gồm kiểm soát phần mềm, kiểm soát phần cứng vật lý, kiểm soát các hoạt động máy tính, kiểm soát bảo mật dữ liệu, kiểm soát trên qui trình thực hiện HT và kiểm soát quản trị 
Kiểm soát ứng dụng: kiểm soát cụ thể duy nhất đối với mỗi ứng dụng máy tính. Bao gồm các kiểm soát áp dụng trong lĩnh vực chức năng của HT cụ thể và qui trình được thảo chương 
Tạo lập môi trường kiểm soát:  Các kiểm soát tổng quát & kiểm soát ứng dụng 
Tạo lập môi trường kiểm soát:  Các kiểm soát tổng quát & kiểm soát ứng dụng 
Kiểm soát bảo mật dữ liệu: Kiểm soát để bảo đảm tập tin dữ liệu không bị truy xuất, không được cấp quyền, thay đổi hay phá hủy. 
Kiểm soát quản trị: các qui định, qui trình, luật lệ và chuẩn hình thức để bảo đảm các kiểm soát của tổ chức là được áp dụng và thi hành thích hợp. 
Hai loại kiểm soát này đòi hỏi sự giám sát và nhập liệu từ người dùng cuối và các nhà quản lý. 
Tạo lập môi trường kiểm soát:  Các kiểm soát tổng quát & kiểm soát ứng dụng 
Kiểm soát ứng dụng bao gồm cả qui trình thủ công lẫn tự động để đảm bảo chỉ dữ liệu được cấp quyền là được xử lý 1 cách chính xác và đầy đủ bởi ứng dụng. Gồm các loại: 
Kiểm soát nhập liệu 
Kiểm soát xử lý 
Kiểm soát kết xuất 
Tạo lập môi trường kiểm soát:  Phát triển cấu trúc kiểm soát: chi phí & lợi ích 
Để quyết định nên dùng kiểm soát nào, người xây dựng HTTT phải kiểm tra các kỹ thuật kiểm soát khác nhau trong tương quan giữa chúng với nhau và hiệu quả-chi phí tương đối của chúng. 
Một kiểm soát bị yếu ở điểm nào đó có thể khắc phục bởi kiểm soát khác. 
Không thể có hiệu quả chi phí khi xây dựng kiểm soát chặt chẻ ở mọi điểm trong chu kỳ xử lý nếu khu vực rủi ro cao nhất là bảo mật hay lợi ích do kiểm soát mang lại là ở chổ khác. 
Kết hợp tất cả các kiểm soát phát triển cho 1 ứng dụng cụ thể sẽ xác định cấu trúc kiểm soát tổng thể. 
Tạo lập môi trường kiểm soát:  Phát triển cấu trúc kiểm soát: chi phí & lợi ích 
Căn cứ để xác định mức kiểm soát: 
Tùy vào tầm quan trọng dữ liệu mà xây dựng kiểm soát đến mức nào trong HT. 
Hiệu quả chi phí của kiểm soát sẽ bị ảnh hưởng bởi hiệu suất, độ phức tạp và sự đắt đỏ của mỗi kỹ thuật kiểm soát. 
Mức độ rủi ro của qui trình hay hoạt động cụ thể nếu không được kiểm soát thích hợp. 
Tạo lập môi trường kiểm soát:  Vai trò của kiểm toán trong qui trình kiểm soát 
Để biết các kiểm soát HTTT có hiệu quả hay không, tổ chức phải thực hiện việc kiểm toán HT. 
Kiểm toán HTTTQL: xác định tất cả các kiểm soát chi phối các HTTT và đánh giá hiệu quả của chúng. 
Để thực hiện điều này, kiểm toán viên phải hiểu xuyên suốt các hoạt động điều hành, các tiện ích vật lý, truyền thông, các HT kiểm soát, các đối tượng bảo mật dữ liệu, cấu trúc tổ chức, con người, qui trình thủ công và các ứng dụng. 
Tạo lập môi trường kiểm soát:  Vai trò của kiểm toán trong qui trình kiểm soát 
Kiểm toán viên thường phỏng vấn các cá nhân chủ chốt sử dụng và điều hành HTTT cụ thể liên quan đến các hoạt động và qui trình. Kiểm toán viên nên theo vết dòng giao dịch mẩu xuyên suốt hệ thống và thực hiện thử nghiệm, sử dụng, nếu cần có thể dùng phần mềm kiểm toán tự động. 
Kiểm toán viên liệt kê và xếp hạng tất cả các điểm yếu của các kiểm soát và ước lượng xác suất xảy ra. 
Tạo lập môi trường kiểm soát:  Vai trò của kiểm toán trong qui trình kiểm soát 
Bảo đảm chất lượng HT:  C ác công cụ & phương pháp đảm bảo chất lượng phần mềm 
Giải pháp cho các vấn đề chất lượng phần mềm bao gồm việc sử dụng phương pháp phát triển HT thích hợp, phân bổ nguồn lực thích hợp trong khi phát triển HT, sử dụng các thước đo và chú trọng việc kiểm thử (testing). 
P hương pháp phát triển HT: tập hợp các phương pháp, 1 hay nhiều cho mổi hoạt động trong mổi giai đoạn của dự án phát triển hệ thống. 
Bảo đảm chất lượng HT:  C ác công cụ & phương pháp đảm bảo chất lượng phần mềm 
Phân bổ nguồn lực thích hợp trong khi phát triển HT: xác định cách thức phân bổ con người, thời gian, chi phí ở các giai đoạn khác nhau của dự án. 
Thước đo phần mềm: đánh giá mục tiêu của phần mềm sử dụng trong HT dưới dạng các đo lường định lượng. 
Testing: bắt đầu từ giai đoạn thiết kế bằng cách xem xét các đặc tả thiết kế. Khi bắt đầu lập trình chương trình phải được test bởi máy tính. Việc phát hiện sai sót trong chương trình được thực hiện thông qua tiến trình debug 
Bảo đảm chất lượng HT: Kiểm toán chất lượng dữ liệu & làm sạch dữ liệu 
Chất lượng HTTT có thể cải tiến bằng cách xác định và hiệu chỉnh dữ liệu sai, phát hiện sai sót. 
Phân tích chất lượng dữ liệu thường bắt đầu với việc kiểm toán chất lượng dữ liệu; đó là 1 khảo sát có cấu trúc về sự chính xác và mức độ đầy đủ của dữ liệu trong HTTT. 
Kiểm toán chất lượng dữ liệu được thực hiện theo phương pháp sau: 
Khảo sát người dùng cuối sự cảm nhận của họ về chất lượng dữ liệu 
Khảo sát toàn bộ các file dữ liệu 
Khảo sát mẩu trích từ file dữ liệu 
Bảo đảm chất lượng HT: Kiểm toán chất lượng dữ liệu & làm sạch dữ liệu 
Làm sạch dữ liệu: tinh chỉnh các sai sót và không thống nhất trong dữ liệu để gia tăng độ chính xác 
Làm sạch dữ liệu trở thành yêu cầu cốt lỏi đối với data warehouse, CRM, và thương mại dựa trên Web.