امنیت سامانه اطلاعاتی حسابداری

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

امنیت سامانه اطلاعاتی حسابداری به معنای حفاظت سامانه‌اطلاعاتی حسابداری در برابر دسترسی افراد غیرمجاز به اطلاعات - انبارش‌شده، در حال پردازش، یا گزارش‌شده - و خدمات است.[۱]

اهمیت[ویرایش]

امروزه یکی از شاخه‌های تخصصی حسابداری، طراحی سامانه اطلاعاتی حسابداری است. مدیران برای تصمیم‌گیری راهبردی نیازمند اطلاعاتی هستند که عموماً به‌وسیله سامانه اطلاعاتی حسابداری فراهم می‌شود.[۲] کار سامانه اطلاعاتی پردازش داده‌ها است؛ اما گاه چنین تصور می‌شود که در سامانه‌های اطلاعاتی سازمان‌ها آنچه روی می‌دهد صرفاً پردازش ساده داده‌های خام و اولیه رویدادهای مالی و غیرمالی مؤثر بر فعالیت‌های سازمان است؛ ولی واقعیت این است که سطوح مختلف مدیران با مسائل متنوعی درگیرند که به‌لحاظ پیچیدگی شیوه‌های حل مسئله در درجات متفاوتی قرار دارند و نوع سامانه‌هایی که می‌توانند به حل این مجموعه متنوع کمک کنند، در طیفی از نظام‌های اطلاعاتی متعارف گذشته‌نگر تا سامانه‌های هوشمند آینده‌نگر قرار دارند که بحث برقراری امنیت در آن سامانه‌ها درخور توجه است.[۳] کنترل سامانه اطلاعاتی، به‌ویژه در مواردی که این سامانه از ایمنی کافی بر خوردار نباشد، امری ضروری است. زیرا خطراتی که این سامانه را می‌تواند تهدید کند، بسیار زیاد است.[۴] در شرکت‌ها و سازمان‌هایی که امنیت سامانه‌های اطلاعاتی آن ضعیف است، خطر نفوذ به آن سامانه‌ها و دستکاری اطلاعات آن زیاد و خسارت‌های وارد می‌تواند غیرقابل جبران باشد. نیاز به ایمنی اطلاعات ایجاب می‌کند که پیش‌بینی‌های لازم توسط مدیران صورت گیرد تا اطلاعات سامانه از ایمنی مناسبی برخوردار و اطلاعات آن اتکاپذیر باشد. تاکنون تحقیقات زیادی در مورد نقش و اهمیت سامانه اطلاعاتی حسابداری در تصمیم‌گیری و همچنین کیفیت اطلاعات در کارایی تصمیم‌گیری انجام شده است که همگی گویای نقش پررنگ آن در عرصه تصمیم‌گیری‌های اقتصادی مدیران است. از آن جا که اهمیت برقراری امنیت سامانه اطلاعاتی در پردازش اطلاعات مالی روزبه‌روز افزایش می‌یابد، موضوع امنیت در سامانه اطلاعاتی حسابداری و ایجاد آن در سازمان‌ها و شرکت‌ها، جایگاه ویژه‌ای را در بین مدیران، حسابداران و حسابرسان به‌وجود آورده است.

عناصر اساسی[ویرایش]

  • محرمانه بودن
  • درست بودن (اعتبار)
  • در دسترس بودن.[۵]
محرمانه بودن

محرمانه بودن به معنی آن سات که اطلاعات تنها برای کسانی که حق دانستن آنها را دارند قابل افشا و نمایش است.[۶] زمانی که اطلاعات توسط شخصی غیرمجاز خوانده یا کپی می‌شود نتیجه آن از دست دادن قابلیت اعتماد است. برای بعضی از انواع اطلاعات، قابلیت اعتماد عاملی بسیار پراهمیت است. برای نمونه، اطلاعات تحقیقاتی، اسناد و مدارک مربوط به بیمه و مالیات، ویژگی‌های محصول جدید و راهبردهای سرمایه‌گذاری شرکت از این نوع اطلاعات است.

صحت و درستی (اعتبار)

به این معنی است که اطلاعات د رمقابل تغییرات، تعدیلات و اشتباهات محافظت می‌شوند و اطلاعات به صورت صحیح و کامل نگهداری می‌شوند.[۶] زمانی که در شبکه ناامنی وجود دارد و اطلاعات با روش‌های غیرمنتظره ای تغییر می‌یابند با تعدیل می‌شوند نتیجه آن به عنوان نداشتن صحت و درستی اطلاعات شناحته می‌شود و به معنی آن است که تغییراتی غیرمجاز در اطلاعات ایجاد شده یا اشتباهاتی توسط نیروی انسانی رخ داده است. درستی و صحت اطلاعات برای حسابداری مالی اهمیت زیادی دارد در نتیجه فقدان صحت و درستی اطلاعات ممکن است از بین برود یا غیرقابل دسترس شود.

در دسترس بودن

به معنی آن است که اطلاعات در زمان مورد نیاز در دسترس هستند و قابل کاربردند و اطمینان از اینکه فقط افراد مجاز در زمان مورد نیاز به اطلاعات دسترسی دارند.[۶] قابلیت دسترسی بیشترین اهمیت را در سازمان‌های خدماتی دارد. زمانی که کاربر قابلیت دسترسی به شبکه یا خدمات خاص فراهم شده توسط شبکه را نداشته باشد آنها را رد می‌کند.[۵]

اهداف[ویرایش]

ایجاد امنیت در سیستمهای اطلاعاتی، به‌منظور تأمین هدفهای زیر است:

الف- کامل بودن اطلاعات

اطلاعات قابل اتکا، اطلاعاتی است که جامع و کامل و بدون خدشه باشد؛ بنابراین اطلاعات نباید قابل دستکاری توسط افراد غیرمجاز باشد. بدین منظور باید از اطلاعات در برابر خطر اعمال هر گونه تغییر شامل افزودن، کاستن یا آلوده کردن یا شدن غیرمجاز تصادفی یا عمدی، محافظت شود.

ب- محرمانه بودن اطلاعات

اشخاص حقیقی یا حقوقی غیرمجاز نباید بتوانند اطلاعات را در اختیار گیرند و درمعرض استفاده نامشروع قرار دهند.

ج- استفاده مجاز از اطلاعات

اطلاعات تنها باید برای به‌کارگیری در راه‌های مجاز، توسط اشخاص مجاز استفاده شود؛ بنابراین هر کاربر تنها اجازه دارد اطلاعات را در حدی که مجاز است، دریافت و برای کاربردهای خاص در اختیار گیرد.

د- در دسترس بودن اطلاعات

اطلاعات باید به‌موقع و به‌سرعت در اختیار کاربران مجاز قرار گیرد. کاربر مجاز باید بتواند در زمانی که به اطلاعات نیاز دارد به آن دسترسی داشته باشد.[۴]
بنابراین، مدیران هر سازمان باید اطمینان حاصل نمایند که سازمان از طریق موارد زیر برای سیستمهای اطلاعاتی امنیت اطلاعاتی ایجاد کرده است:[۷]

  1. ارزیابی احتمال خطر و میزان زیانی که می‌تواند ناشی از دستیابی، استفاده، اختلال، اصلاح یا نابودی غیرمجاز چنین اطلاعات یا سیستمهای اطلاعاتی باشد،
  2. تعیین سطوح امنیت اطلاعاتی متناسب جهت پیشگیری از آسیب چنین اطلاعات و سیستم اطلاعاتی بر طبق استانداردها،
  3. اجرای سیاستها و روندهایی برای کاهش هزینه‌های خطر تا یک سطح قابل‌قبول، و
  4. آزمایش و ارزیابی تکنیکها و کنترلهای امنیت اطلاعات برای اطمینان حاصل کردن از اینکه آنها به‌طور مؤثری انجام می‌شوند.

برقراری امنیت در سیستم و حفاظت از اطلاعات آن[ویرایش]

مدیران باید آگاه باشند که برای محافظت کامل از سرمایه‌های اطلاعاتی، به انواع گوناگونی از ابزار امنیتی نیاز دارند تا امنیت اطلاعات درسطح قابل‌قبولی در سازمان ایجاد شود. از طرفی، هیچ محصولی نمی‌تواند به تنهایی امنیت را تأمین نماید. به‌طور مثال، نرم‌افزار ضد ویروس بخش لازمی از یک برنامه خوب امنیتی می‌باشد که با نصب و تنظیم درست می‌توان حملات وارد به سیستم اطلاعاتی سازمان را کاهش داد. اما برنامه‌های ضد ویروس فقط قادرند با بدافزارها مقابله کنند. از طرفی چنین برنامه‌ای قادر نیست در برابر مزاحمی که قصد سوء استفاده از برنامه‌های مجاز سازمان را دارد، از سازمان محافظت کند. همچنین، نرم‌افزار ضد ویروس نمی‌تواند سازمان را در برابر کسی که قصد دارد به فایلهای آن سازمان دسترسی پیدا کند، محافظت نماید.[۸]
اما برای اینکه بتوان امنیت بهتری را در سیستم برقرار نمود و از اطلاعات آن سازمان محافظت کرد، می‌توان موارد زیر را در نظر داشت:

کنترل دسترسی

هر سیستم متعلق به سازمان باید قادر باشد تا دسترسی به پرونده‌های الکترونیکی را بر اساس نوع کد شناسایی که به کاربر داده شده است، محدود نماید. چنانچه این سیستم به‌طور صحیح پیکربندی شود، قادر خواهد بود تا دسترسی کاربران مجاز را محدود نماید و بدین ترتیب روی دسترسی کاربران کنترل داشته باشد. با استفاده از کنترل دسترسی، کسی که از یک سیستم آسیب‌پذیر قصد دسترسی به پرونده‌های سیستم را دارد، نمی‌تواند به‌عنوان مدیر سیستم آن پرونده‌ها را مشاهده کند.[۹]

کارتهای هوشمند

یکی از روشهای اعتبارسنجی که سابقه زیادی هم دارد، استفاده از کلمه عبور است تا با استفاده از آن هویت افراد برای کامپیوتر تعیین گردد. اما با گذشت زمان معلوم گردید که این روش چندان مطمئن نیست، زیرا ممکن است کلمه عبور توسط افراد دیگر کشف گردد یا هنگام تایپ لو برود. از کارتهای هوشمند می‌توان برای اعتبارسنجی استفاده کرد که باعث کاهش خطر لو رفتن کلمه عبور می‌گردد.[۱۰]

زیست‌سنجی

زیست‌سنجی یکی از روشهای اعتبارسنجی است که می‌تواند خطر لو رفتن کلمه عبور را تا حد زیادی کاهش دهد.[۸]

تشخیص ورود غیرمجاز

سیستم تشخیص ورود غیرمجاز یکی از محصولاتی است که ادعا می‌کند مشکلات امنیتی را به‌طور کامل حل می‌کند. در این سیستم نیازی به محافظت فایل و سیستم نمی‌باشد، بلکه در این سیستم وقتی یک نفر وارد سیستم می‌شود و قصد دارد کار خطایی را انجام دهد، از ادامه کار او جلوگیری می‌شود.[۱۰]

جستجوی راه‌های نفوذ

یکی از بخشهای مهم یک برنامه امنیتی خوب آن است که به دنبال راه‌های نفوذ در سیستم خود باشد و آنها را بیابد. به کمک این جستجو، سازمان می‌تواند نقاط بالقوه موجود برای ورود مزاحمین را پیدا کند. البته سیستم به تنهایی قادر به حفاظت خود نخواهد بود و باید بعد از یافتن راه‌های نفوذ آنها را مسدود کرد. یکی از نقائص این روش آن است که کاربران مجازی که دسترسی نادرست به اطلاعات دارند را کشف نمی‌کند و همچنین مزاحمینی که از قبل وارد سیستم شده‌اند را نمی‌تواند پیدا کند.[۹]

رمز نگاری

رمز نگاری از جمله اولین سازوکارهای امنیت مخابراتی می‌باشد که اطلاعات را به هنگام ارسال محافظت می‌کند. برای محافظت اطلاعاتی که به صورت فایل ذخیره می‌شوند نیز می‌توان از سیستم رمزنگاری استفاده کرد.[۱۰]

کنترل موردی و مقاطع زمانی خاص

کنترل موردی و مقاطع زمانی خاص بر اطلاعات خروجی سیستم اطلاعاتی حسابداری از طریق بررسی و مشاهده مدارک و محاسبات آن به‌صورت دستی، موجب اطمینان نسبی از عدم دستکاری و وجود مشکل در سیستم خواهد شد.

منابع[ویرایش]

  1. Lodha,Ajay. information security. 2006. 
  2. پورحیدری، امید. اهمیت ویژگیهای اطلاعات مرتبط با تصمیمات راهبردی و نقش آنها در طراحی سیستمهای اطلاعاتی حسابداری. دانش و پژوهش حسابداری، بهار 1385. 
  3. عرب مازار یزدی، محمد. کاربرد سیستمهای خبره در آموزش حسابداری، مجموعه مقالات هشتمین سراسری حسابداری ایران. مرندیز، 1385. 
  4. ۴٫۰ ۴٫۱ آریا، ناصر. حسابرسی شبکه‌های کامپیوتری. نشریه شماره 152سازمان حسابرسی، دیماه 1380. 
  5. ۵٫۰ ۵٫۱ Juvva,kanada. security. 1998. 
  6. ۶٫۰ ۶٫۱ ۶٫۲ Khalfan,Abdulwahed. information security condideration in IS/IT out sourcing projects. international journal managment، 2004. 
  7. Daily,C. &. Defending the Security of the Accounting System. the CPA Journal، 2000. 
  8. ۸٫۰ ۸٫۱ Mack,E. Implementing a Secure Accounting Information System. the CPA Journal، 2006. 
  9. ۹٫۰ ۹٫۱ صفائی، احمد. امنیت شبکه. دانش پرور، 1383. 
  10. ۱۰٫۰ ۱۰٫۱ ۱۰٫۲ صابر صفائی، علی؛ سعیدی، رضا. امنیت شبکه. مجله تجارت الکترونیک و رایانه، دیماه 1383.