บทที่
9
การควบคุมด้วยคอมพิวเตอร์สำหรับระบบสารสนเทศทางการบัญชี
วัตถุประสงค์ของการควบคุมทั่วไป
มั่นใจว่าการดำเนินการด้านสามารถตอบสนองต่อความต้องการด้านสารสนเทศโดยรวมขององค์กรการควบคุมทั่วไป
ประกอบด้วย
- ความต้องการด้านประสิทธิภาพ
- ประสิทธิผลของการดำเนินงาน
- ความปลอดภัยของข้อมูล
- ความถูกต้องครบถ้วน
- ความพร้อมใช้ข้อมูล
วัตถุประสงค์ของการวางแผนนโยบาย
แผนงานและการลงทุนด้านสารสนเทศ
สอดคล้องกับวัตถุประสงค์ทางธุรกิจควรมีการสอบทานปรับปรุงนโยบายบ่อยแค่ไหน1-2 ปีควรมีนโยบายการใช้ระบบสารสนเทศเพื่อเป็นแนวทางสำหรับการบริหารจัดการ
(พัฒนาและความปลอดภัย)นโยบายเกี่ยวกับมาตรฐาน software ควรกำหนด
version ให้เหมือนกัน
ความปลอดภัยเครือข่ายไร้สาย
คือการหยุดคนจากการใช้บริการของเครือข่ายของเราที่ไม่ได้รับอนุญาตเป็นงานหนักเพื่อรักษาความปลอดภัยเครือข่ายไร้สายจากแฮกเกอร์เมื่อเทียบกับเครือข่ายแบบใช้สาย
เกิดจากข้อเท็จจริงที่ว่าเครือข่ายไร้สายสามารถเข้าถึงได้ทุกที่ผ่านการกระจายสัญญาณในอากาศเพื่อที่จะรักษาความปลอดภัยเครือข่ายไร้สายจากแฮกเกอร์เราควรทำตามขั้นตอนที่เหมาะสม
เพื่อจัดการกับปัญหาด้านความปลอดภัย ควรปฏิบัติตามเคล็ดลับง่าย ๆ เหล่านี้
1. การกำหนดตำแหน่งเสาอากาศ
สิ่งแรกที่คุณต้องทำคือการ
กำหนดตำแหน่งของจุดเชื่อมต่อสัญญาณเสาอากาศในสถานที่ที่จำกัดในช่วงที่ส่งสัญญาณที่จำเป็น
2. ใช้การเข้ารหัสรหัสผ่านแบบ WEP
, WPA , WPA2:
เป็นโปรโตคอลการเข้ารหัสแบบไร้สาย มันเป็นเทคนิคสำหรับการเข้ารหัสการจราจรบนเครือข่ายไร้สาย คุณไม่ควรข้ามไปเพราะจะช่วยให้แฮกเกอร์สามารถเข้าใช้งานเครือข่ายของเราได้ทันที
3. เปลี่ยนปิดการใช้งานกระจาย SSID,
SSID
SSID เป็นชื่ออุปกรณ์ไร้สายที่ปล่อยกระจายให้เชื่อต่อโดยเป็นจุดการเข้าถึงเครือข่ายแบบไร้สายจากการที่ลูกค้า
สำหรับการเข้าถึงแบบไร้สายทุกจุดควรกำหนดชื่อที่ไม่ซ้ำกันรวมทั้ง
และควรซ่อนการออกอากาศ SSID ซึ่งมันจะไม่ปรากฏปรากฏในในรายการเครือข่ายที่ผู้ใช้ค้นหา
4. ปิดบริการแบบ DHCP
หากเรามีการแจก ip
อัตโนมัติ แฮกเกอร์จะใช้การถอดรหัส TCP/IP , subnet mask เช่นเดียวกับ IP
address เพื่อตัดเครือข่ายไร้สายของคุณ ไม่ให้สามารถใช้งานได้
5. ปิดการใช้งานหรือแก้ไขการตั้งค่า SNMP
ปิดการใช้งานมิฉะนั้นแฮ็กเกอร์จะสามารถใช้ประโยชน์จาก
SNMP
เพื่อรับข้อมูลสำคัญเกี่ยวกับเครือข่ายไร้สายของคุณ
6. ใช้ประโยชน์จากรายการ
ผู้ใช้ที่เข้าถึงได้
สำหรับการรักษาความปลอดภัยเพิ่มเติมของเครือข่ายไร้สายของคุณ
หากว่าอุปกรณ์ต่าง ๆ ที่ใช้ หรือโปรแกรมเสริม มีบริการที่ช่วยให้เราทราบเกี่ยวกับผู้ที่ได้รับอนุญาตจัดการผู้ใช้งานได้
เช่นการทำ Authentication ก็จะเป็นการรักษาความปลอดภัยที่ดีมากๆ
ความปลอดภัยและการควบคุมสำหรับไมโครคอมพิวเตอร์
ไมโครคอมพิวเตอร์ (Microcomputer)
ไมโครคอมพิวเตอร์เป็นเครื่องคอมพิวเตอร์ที่มีขนาดเล็ก
บางคนเห็นว่าเป็นเครื่องคอมพิวเตอร์ที่ใช้งานส่วนบุคคล หรือเรียกว่า พีซี (Personal
Computer : PC) สามารถใช้เป็นเครื่องต่อเชื่อมในเครือข่าย
หรือใช้เป็นเครื่องปลายทาง (terminal) ซึ่งอาจจะทำหน้าที่เป็นเพียงอุปกรณ์รับและแสดงผลสำหรับป้อนข้อมูลและดูผลลัพธ์
สามารถแบ่งแยกไมโครคอมพิวเตอร์ตามขนาดของเครื่องได้ดังนี้
คอมพิวเตอร์ตั้งโต๊ะ Desktop หรือ Desktop Computer เป็นคอมพิวเตอร์ที่ออกแบบมาเพื่อใช้
งานบนโต๊ะ ที่ใช้ตามบ้านหรือสำนักงานทั่วไป มีการแยกชิ้นส่วนประกอบ
แล็ปท็อปคอมพิวเตอร์ (อังกฤษ: laptop
computer) หรือเรียกย่อว่า
แล็ปท็อป เป็นเครื่องคอมพิวเตอร์ ที่ถูกออกแบบมาให้มีขนาดเล็ก
สามารถขนย้ายหรือพกพาได้สะดวก การทำงานของแล็ปท็อป
จะใช้พลังงานไฟฟ้าจากแบตเตอรีและในขณะเดียวกันก็ยังสามารถใช้พลังงานไฟฟ้าได้โดยตรงจากการเสียบปลั๊กไฟ ประสิทธิภาพของแล็ปท็อปโดยทั่วไปนั้นเทียบเท่ากับคอมพิวเตอร์ตั้งโต๊ะแบบ
จะใช้พลังงานไฟฟ้าจากแบตเตอรีและในขณะเดียวกันก็ยังสามารถใช้พลังงานไฟฟ้าได้โดยตรงจากการเสียบปลั๊กไฟ ประสิทธิภาพของแล็ปท็อปโดยทั่วไปนั้นเทียบเท่ากับคอมพิวเตอร์ตั้งโต๊ะแบบ
ระบบการควบคุมภายใน
หมายถึง การควบคุมที่ออกแบบให้มีการเชื่อมโยง
ซึ่งกันและกันไว้ในกระบวนการของกิจกรรม / การปฏิบัติงานตั้งแต่ต้นจนจบ
การจัดวางระบบการควบคุมภายใน
หมายถึง การกำหนดหรือออกแบบวิธีการควบคุม และนำมาใช้เพื่อให้เกิดความมั่นใจว่าการปฏิบัติงาน
เป็นไปอย่างมีระเบียบและมีประสิทธิภาพ
วัตถุประสงค์ของการควบคุมภายใน
เพื่อให้การดำเนินงานขององค์กรเกิดประสิทธิภาพและประสิทธิผล (Operation
Objectives : O) เพื่อให้การปฏิบัติและรายงานทางการเงิน ถูกต้อง
เชื่อถือได้ และทันเวลา (Financial Reporting Objectives : F)
การควบคุมทั่วไปในสภาพแวดล้อม หมายถึง ปัจจัยต่างๆ
ซึ่งส่งเสริมให้องค์ประกอบของการควบคุมภายในอื่นๆ มีประสิทธิผลในหน่วยรับตรวจ
(กรม) หรือทำให้การควบคุมที่มีอยู่มีประสิทธิผลยิ่งขึ้น หรือทำให้บุคลากรให้ความสำคัญกับการควบคุมภายในมากขึ้นเป็นการสร้างความตระหนัก
(Control
Consciousness) และบรรยากาศของการควบคุมในหน่วยงานให้บุคลากรเกิดจิตสำนึกที่ดีในการปฏิบัติงานตามความรับผิดชอบ
เน้นการสร้างบรรยากาศโดยผู้บริหารระดับสูง
เน้นการสร้างบรรยากาศโดยผู้บริหารระดับสูง
สภาพแวดล้อมของการควบคุม ความซื่อสัตย์และจริยธรรม ความรู้
ทักษะและความสามารถของบุคลากร
ปรัชญาและรูปแบบการทำงานของผู้บริหาร
ความซื่อสัตย์และจริยธรรม
โครงสร้างองค์กร การมอบอำนาจและหน้าที่ความรับผิดชอบ
นโยบายและวิธีบริหารงานบุคคล
การประเมินความเสี่ยง
ความเสี่ยง หมายถึง
เหตุการณ์ที่ไม่มีความแน่นอนที่อาจเกิดขึ้น และส่งผลกระทบทำให้องค์กรเกิดความเสียหาย
ไม่สามารถดำเนินงานให้บรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร
การประเมินความเสี่ยง หมายถึง
กระบวนการที่สำคัญที่ใช้ในการระบุและวิเคราะห์ความเสี่ยง
ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร
กระบวนการบริหารจัดการแผนรับมือเหตุฉุกเฉิน
และการบริหารความเสี่ยง
การบริหารความเสี่ยงปกติจะต้องครอบคลุมกิจกรรมที่มีความหลากหลายเพื่อระบุวิธีการควบคุมและลดความเสี่ยงให้กับระบบไอทีจากมุมมองของกิจกรรมการบริหารความเสี่ยงจากแผนปฏิบัติการรับมือ
เหตุฉุกเฉินจะเห็นว่า มี 2 หน้าที่หลักได้แก่
การบริหารความเสี่ยงจะต้องสามารถระบุภยันตรายหรือภัยคุกคาม รวมทั้งช่องโหว่เพื่อที่จะทำให้สามารถจัดทำแผนการควบคุมที่เหมาะสม
และสามารถนำมาใช้งานได้อย่างถูกที่ถูกเวลาทั้งนี้ก็เพื่อป้องกันเหตุไม่คาดฝันที่อาจเกิดขึ้น
การควบคุมในที่นี้หมายถึงการป้องกันระบบไอทีจากภัยคุกคาม 3 ประเภทดังนี้
ภัยพิบัติทางธรรมชาติ —เช่น อุทกภัย และอัคคีภัย
ภัยพิบัติจากน้ำมือมนุษย์ — การทำงานผิดพลาดหรือการใช้งานผิดวิธี การจารกรรมหรือวินาศกรรม ปัญหาการติดไวรัสของระบบและข้อมูลข่าวสาร ปัญหาการก่อการร้ายเป็นต้น
ปัญหาสภาพแวดล้อม — การทำงานผิดพลาดของอุปกรณ์ในระบบ การทำงานผิดพลาดของระบบ Software การหยุดชะงักการให้บริการของระบบเครือข่ายโทรคมนาคม และระบบไฟฟ้าขัดข้อง
ภัยพิบัติจากน้ำมือมนุษย์ — การทำงานผิดพลาดหรือการใช้งานผิดวิธี การจารกรรมหรือวินาศกรรม ปัญหาการติดไวรัสของระบบและข้อมูลข่าวสาร ปัญหาการก่อการร้ายเป็นต้น
ปัญหาสภาพแวดล้อม — การทำงานผิดพลาดของอุปกรณ์ในระบบ การทำงานผิดพลาดของระบบ Software การหยุดชะงักการให้บริการของระบบเครือข่ายโทรคมนาคม และระบบไฟฟ้าขัดข้อง
ประการที่สอง
การบริหารความเสี่ยงควรระบุความเสี่ยงที่เหลือ(นอกเหนือจากที่กล่าวมาแล้วทั้งสามข้อ)
ซึ่งแผนฉุกเฉินจะต้องสามารถนำมาใช้งานได้อย่างถูกที่ถูกจังหวะ
การเข้าถึงไฟล์คอมพิวเตอร์
ไฟล์คอมพิวเตอร์ หมายถึงกลุ่มระเบียนสารสนเทศใด
ๆ หรือทรัพยากรสำหรับเก็บบันทึกสารสนเทศ ซึ่งสามารถใช้งานได้กับโปรแกรมคอมพิวเตอร์ และโดยปกติจะอยู่บนหน่วยเก็บบันทึกถาวรบางชนิด
การส่ง สัญญาณ
สัญญาณอะซิงโครนัสที่ ได้รับโดยแอ็พพลิเคชันขณะอยู่ในธุรกรรมมีการส่งในลักษณะที่ไม่ใช่ธุรกรรม
เมื่ออยู่ในสถานะธุรกรรม ไม่อนุญาตการส่ง สัญญาณซิงโครนัส
และส่งผลให้เกิดความล้มเหลวของธุรกรรมแบบถาวรชนิด TM_SYNC_SIGNAL ตามที่กำหนดไว้ ในไฟล์ /usr/include/sys/machine.h
การควบคุมอินพุต
รับเข้า/ส่งออก ในทางคอมพิวเตอร์ หมายถึงการสื่อสารระหว่างระบบประมวลผลสารสนเทศ
(เช่นคอมพิวเตอร์) กับโลกภายนอกซึ่งอาจเป็นมนุษย์หรือระบบประมวลผลสารสนเทศอีกระบบหนึ่ง อินพุตหรือสิ่งรับเข้าคือสัญญาณหรือข้อมูลที่ระบบรับเข้ามา และเอาต์พุตหรือสิ่งส่งออกคือสัญญาณหรือข้อมูลที่ระบบส่งออกไป ศัพท์นี้ใช้เรียกการกระทำเพียงส่วนหนึ่ง กล่าวคือ “การกระทำไอ/โอ” หมายถึงการปฏิบัติการรับเข้าหรือส่งออกสัญญาณหรือข้อมูล บุคคลหนึ่ง (หรือระบบอื่น) สามารถใช้อุปกรณ์ไอ/โอเพื่อสื่อสารกับคอมพิวเตอร์ ตัวอย่างเช่น คีย์บอร์ดหรือเมาส์จัดว่าเป็นอุปกรณ์รับเข้าสำหรับคอมพิวเตอร์ ในขณะที่จอภาพและเครื่องพิมพ์จัดว่าเป็นอุปกรณ์ส่งออกสำหรับคอมพิวเตอร์ ส่วนอุปกรณ์ที่สื่อสารระหว่างคอมพิวเตอร์ด้วยกัน เช่นโมเด็มหรือแผ่นวงจรเครือข่าย โดยปกติสามารถเป็นได้ทั้งอุปกรณ์รับเข้าและส่งออก
(เช่นคอมพิวเตอร์) กับโลกภายนอกซึ่งอาจเป็นมนุษย์หรือระบบประมวลผลสารสนเทศอีกระบบหนึ่ง อินพุตหรือสิ่งรับเข้าคือสัญญาณหรือข้อมูลที่ระบบรับเข้ามา และเอาต์พุตหรือสิ่งส่งออกคือสัญญาณหรือข้อมูลที่ระบบส่งออกไป ศัพท์นี้ใช้เรียกการกระทำเพียงส่วนหนึ่ง กล่าวคือ “การกระทำไอ/โอ” หมายถึงการปฏิบัติการรับเข้าหรือส่งออกสัญญาณหรือข้อมูล บุคคลหนึ่ง (หรือระบบอื่น) สามารถใช้อุปกรณ์ไอ/โอเพื่อสื่อสารกับคอมพิวเตอร์ ตัวอย่างเช่น คีย์บอร์ดหรือเมาส์จัดว่าเป็นอุปกรณ์รับเข้าสำหรับคอมพิวเตอร์ ในขณะที่จอภาพและเครื่องพิมพ์จัดว่าเป็นอุปกรณ์ส่งออกสำหรับคอมพิวเตอร์ ส่วนอุปกรณ์ที่สื่อสารระหว่างคอมพิวเตอร์ด้วยกัน เช่นโมเด็มหรือแผ่นวงจรเครือข่าย โดยปกติสามารถเป็นได้ทั้งอุปกรณ์รับเข้าและส่งออก
ไม่มีความคิดเห็น:
แสดงความคิดเห็น