Hệ thống thông tin đã làm nên thành công của nhiều doanh nghiệp ngày nay. Một số công ty như Google, Facebook, EBay, v.v. sẽ không tồn tại nếu không có công nghệ thông tin. Tuy nhiên, việc sử dụng công nghệ thông tin không đúng cách có thể tạo ra các vấn đề cho tổ chức và nhân viên.
Tội phạm tiếp cận thông tin thẻ tín dụng có thể dẫn đến thiệt hại tài chính cho chủ sở hữu thẻ hoặc tổ chức tài chính. Sử dụng hệ thống thông tin của tổ chức tức là đăng nội dung không phù hợp trên Facebook hoặc Twitter bằng tài khoản công ty có thể dẫn đến các vụ kiện tụng và tổn thất kinh doanh.
Hướng dẫn này sẽ giải quyết những thách thức do hệ thống thông tin đặt ra và những gì có thể được thực hiện để giảm thiểu hoặc loại bỏ rủi ro.
Trong hướng dẫn này, bạn sẽ học -
- Tội phạm mạng
- Hệ thống thông tin bảo mật
- Hệ thống thông tin Đạo đức
- Chính sách về Công nghệ Thông tin Truyền thông (ICT)
Tội phạm mạng
Tội phạm mạng là việc sử dụng công nghệ thông tin để phạm tội. Tội phạm mạng có thể bao gồm từ việc chỉ đơn giản là gây phiền nhiễu cho người dùng máy tính đến thiệt hại lớn về tài chính và thậm chí là thiệt hại về nhân mạng. Sự phát triển của điện thoại thông minh và các thiết bị Di động cao cấp khác có khả năng truy cập internet cũng góp phần vào sự gia tăng của tội phạm mạng.
Các loại tội phạm mạng
Hành vi trộm cắp danh tính
Hành vi trộm cắp danh tính xảy ra khi tội phạm mạng mạo danh danh tính của người khác để thực hiện hành vi trục trặc. Điều này thường được thực hiện bằng cách truy cập thông tin cá nhân của người khác. Các chi tiết được sử dụng trong các tội ác như vậy bao gồm số an sinh xã hội, ngày sinh, số thẻ tín dụng và thẻ ghi nợ, số hộ chiếu, v.v.
Sau khi tội phạm mạng thu thập được thông tin, nó có thể được sử dụng để mua hàng trực tuyến trong khi mạo danh mình là người khác. Một trong những cách mà bọn tội phạm mạng sử dụng để lấy thông tin cá nhân đó là lừa đảo. Lừa đảo liên quan đến việc tạo các trang web giả mạo trông giống như các trang web hoặc email kinh doanh hợp pháp .
Ví dụ: một email dường như đến từ YAHOO có thể yêu cầu người dùng xác nhận thông tin cá nhân của họ bao gồm số liên lạc và mật khẩu email. Nếu người dùng bị lừa và cập nhật thông tin chi tiết và cung cấp mật khẩu, kẻ tấn công sẽ có quyền truy cập vào chi tiết cá nhân và email của nạn nhân.
Nếu nạn nhân sử dụng các dịch vụ như PayPal, thì kẻ tấn công có thể sử dụng tài khoản để mua hàng trực tuyến hoặc chuyển tiền.
Các kỹ thuật lừa đảo khác liên quan đến việc sử dụng các điểm truy cập Wi-Fi giả trông giống như các điểm truy cập hợp pháp. Điều này thường xảy ra ở những nơi công cộng như nhà hàng và sân bay. Nếu một người dùng không nghi ngờ đăng nhập vào mạng, thì tội phạm mạng có thể cố gắng truy cập vào thông tin nhạy cảm như tên người dùng, mật khẩu, số thẻ tín dụng, v.v.
Theo Bộ Tư pháp Hoa Kỳ, một cựu nhân viên bộ ngoại giao đã sử dụng email lừa đảo để có quyền truy cập vào tài khoản email và mạng xã hội của hàng trăm phụ nữ và truy cập vào các bức ảnh khiêu dâm. Anh ta có thể sử dụng những bức ảnh để tống tiền những người phụ nữ và đe dọa sẽ công khai những bức ảnh nếu họ không chấp nhận yêu cầu của anh ta.
vi phạm bản quyền
Vi phạm bản quyền là một trong những vấn đề lớn nhất đối với các sản phẩm kỹ thuật số. Các trang web như vịnh cướp biển được sử dụng để phân phối các tài liệu có bản quyền như âm thanh, video, phần mềm, v.v. Vi phạm bản quyền là việc sử dụng trái phép các tài liệu có bản quyền.
Truy cập internet nhanh chóng và giảm chi phí lưu trữ cũng góp phần vào sự gia tăng của tội phạm vi phạm bản quyền.
Nhấp chuột gian lận
Các công ty quảng cáo như Google AdSense cung cấp dịch vụ quảng cáo trả tiền cho mỗi lần nhấp chuột. Lừa đảo nhấp chuột xảy ra khi một người nhấp vào một liên kết như vậy không có ý định biết thêm về nhấp chuột mà để kiếm nhiều tiền hơn. Điều này cũng có thể được thực hiện bằng cách sử dụng phần mềm tự động tạo ra các nhấp chuột.
Gian lận phí ứng trước
Một email được gửi đến nạn nhân mục tiêu hứa cho họ rất nhiều tiền để giúp họ đòi tiền thừa kế.
Trong những trường hợp như vậy, tội phạm thường giả vờ là họ hàng gần của một người rất giàu có nổi tiếng đã chết. Anh ấy / cô ấy tuyên bố đã thừa kế tài sản của người giàu quá cố và cần được giúp đỡ để đòi quyền thừa kế. Anh ấy / cô ấy sẽ yêu cầu hỗ trợ tài chính và hứa sẽ thưởng sau. Nếu nạn nhân gửi tiền cho kẻ lừa đảo, kẻ lừa đảo biến mất và nạn nhân mất tiền.
Hacking
Hacking được sử dụng để vượt qua các kiểm soát bảo mật để có được quyền truy cập trái phép vào hệ thống. Một khi kẻ tấn công đã có được quyền truy cập vào hệ thống, chúng có thể làm bất cứ điều gì chúng muốn. Một số hoạt động phổ biến được thực hiện khi hệ thống bị tấn công là;
- Cài đặt các chương trình cho phép kẻ tấn công theo dõi người dùng hoặc điều khiển hệ thống của họ từ xa
- Deface các trang web
- Đánh cắp thông tin nhạy cảm. Điều này có thể được thực hiện bằng cách sử dụng các kỹ thuật như SQL Injection, khai thác các lỗ hổng trong phần mềm cơ sở dữ liệu để có quyền truy cập, các kỹ thuật xã hội lừa người dùng gửi id và mật khẩu, v.v.
Virus máy tính
Vi rút là các chương trình trái phép có thể làm phiền người dùng, đánh cắp dữ liệu nhạy cảm hoặc được sử dụng để điều khiển thiết bị được điều khiển bằng máy tính.
Hệ thống thông tin bảo mật
Bảo mật MIS đề cập đến các biện pháp được áp dụng để bảo vệ tài nguyên của hệ thống thông tin khỏi bị truy cập trái phép hoặc bị xâm phạm. Lỗ hổng bảo mật là những điểm yếu trong hệ thống máy tính, phần mềm hoặc phần cứng có thể bị kẻ tấn công lợi dụng để truy cập trái phép hoặc xâm phạm hệ thống.
Con người như là một phần của các thành phần của hệ thống thông tin cũng có thể bị khai thác bằng cách sử dụng các kỹ thuật công nghệ xã hội. Mục tiêu của kỹ thuật xã hội là đạt được sự tin tưởng của người dùng hệ thống.
Bây giờ chúng ta hãy xem xét một số mối đe dọa mà hệ thống thông tin phải đối mặt và những gì có thể được thực hiện để loại bỏ hoặc giảm thiểu thiệt hại nếu mối đe dọa trở thành hiện thực.
Virus máy tính - đây là những chương trình độc hại như được mô tả trong phần trên. Các mối đe dọa do vi rút gây ra có thể được loại bỏ hoặc giảm thiểu tác động bằng cách sử dụng phần mềm Chống vi rút và tuân theo các phương pháp hay nhất về bảo mật của một tổ chức.
Truy cập trái phép - quy ước tiêu chuẩn là sử dụng kết hợp tên người dùng và mật khẩu. Tin tặc đã học cách vượt qua các kiểm soát này nếu người dùng không tuân theo các phương pháp bảo mật tốt nhất. Hầu hết các tổ chức đã thêm việc sử dụng các thiết bị di động như điện thoại để cung cấp thêm một lớp bảo mật.
Hãy lấy Gmail làm ví dụ, nếu Google nghi ngờ về việc đăng nhập vào một tài khoản, họ sẽ yêu cầu người sắp đăng nhập xác nhận danh tính của họ bằng thiết bị di động được hỗ trợ Android của họ hoặc gửi SMS với số PIN sẽ bổ sung cho tên người dùng và mật khẩu.
Nếu công ty không có đủ nguồn lực để triển khai bảo mật bổ sung như Google, họ có thể sử dụng các kỹ thuật khác. Những kỹ thuật này có thể bao gồm đặt câu hỏi cho người dùng trong quá trình đăng ký, chẳng hạn như thị trấn họ lớn lên, tên của con vật cưng đầu tiên của họ, v.v. Nếu người đó cung cấp câu trả lời chính xác cho những câu hỏi này, quyền truy cập sẽ được cấp vào hệ thống.
Mất dữ liệu - nếu trung tâm dữ liệu bị cháy hoặc bị ngập nước, phần cứng chứa dữ liệu có thể bị hỏng và dữ liệu trên đó sẽ bị mất. Như một phương pháp hay nhất về bảo mật tiêu chuẩn, hầu hết các tổ chức đều lưu giữ các bản sao lưu dữ liệu ở những nơi xa. Các bản sao lưu được thực hiện định kỳ và thường được đặt ở nhiều vùng sâu vùng xa.
Nhận dạng sinh trắc học - điều này hiện đang trở nên rất phổ biến, đặc biệt là với các thiết bị di động như điện thoại thông minh. Điện thoại có thể ghi lại dấu vân tay của người dùng và sử dụng nó cho mục đích xác thực. Điều này khiến những kẻ tấn công khó truy cập trái phép vào thiết bị di động hơn. Công nghệ như vậy cũng có thể được sử dụng để ngăn những người không được phép truy cập vào thiết bị của bạn.
Hệ thống thông tin Đạo đức
Đạo đức đề cập đến các quy tắc về đúng và sai mà mọi người sử dụng để đưa ra các lựa chọn nhằm hướng dẫn hành vi của họ. Đạo đức trong MIS tìm cách bảo vệ và bảo vệ các cá nhân và xã hội bằng cách sử dụng các hệ thống thông tin một cách có trách nhiệm. Hầu hết các ngành nghề thường có quy định về quy tắc đạo đức hoặc hướng dẫn về quy tắc ứng xử mà tất cả các chuyên gia liên kết với nghề nghiệp phải tuân thủ.
Tóm lại, quy tắc đạo đức khiến các cá nhân hành động theo ý chí tự do của họ phải chịu trách nhiệm và chịu trách nhiệm về hành động của mình. Có thể tìm thấy ví dụ về Quy tắc Đạo đức dành cho các chuyên gia MIS trên trang web của Hiệp hội Máy tính Anh (BCS).
Chính sách về Công nghệ Thông tin Truyền thông (ICT)
Chính sách CNTT-TT là một tập hợp các hướng dẫn xác định cách một tổ chức nên sử dụng công nghệ thông tin và hệ thống thông tin một cách có trách nhiệm. Các chính sách CNTT-TT thường bao gồm các hướng dẫn về;
- Mua và sử dụng thiết bị phần cứng và cách vứt bỏ chúng một cách an toàn
- Chỉ sử dụng phần mềm được cấp phép và đảm bảo rằng tất cả phần mềm đều được cập nhật các bản vá mới nhất vì lý do bảo mật
- Quy tắc về cách tạo mật khẩu (thực thi độ phức tạp), thay đổi mật khẩu, v.v.
- Sử dụng công nghệ thông tin và hệ thống thông tin được chấp nhận
- Đào tạo tất cả người dùng liên quan đến việc sử dụng ICT và MIS
Tóm lược:
Với sức mạnh lớn đến trách nhiệm lớn. Hệ thống thông tin mang lại những cơ hội và lợi thế mới cho cách chúng ta kinh doanh nhưng chúng cũng đưa ra những vấn đề có thể ảnh hưởng tiêu cực đến xã hội (tội phạm mạng). Một tổ chức cần giải quyết những vấn đề này và đưa ra một khuôn khổ (bảo mật MIS, chính sách ICT, v.v.) để giải quyết chúng.