3.2 Các giải pháp cụ thể
3.2.1.4 Giải pháp tổ chức kiểm soát hệ thống thông tin trong điều kiện ứng dụng
Ứng dụng CNTT giúp nâng cao hiệu quả quá trình xử lý và cung cấp thơng tin, tuy nhiên có nhiều nguy cơ dẫn đến rủi ro cho hệ thống thơng tin kế tốn. Sau đây là một số giải pháp kiểm soát nhằm hạn chế các rủi ro có thể xảy ra đối với hệ thống thơng tin kế tốn của doanh nghiệp:
- Kiểm soát truy cập hệ thống dữ liệu bất hợp pháp: Việc truy cập hệ thống bất hợp pháp có thể dẫn đến rủi ro hồ sơ nhân viên, khách hàng, chi tiết doanh thu, chi phí, tài sản, ... có thể bị sửa đổi, sao chụp sử dụng theo cách bất lợi hoặc bị phá hủy. Để hạn chế rủi ro này DN cần thực hiện các giải pháp kiểm soát truy cập hệ thống bao gồm: (1) Phân quyền truy cập và sử dụng hệ thống: Xác định rõ tên nhân viên và các chức năng hay nhiệm vụ mà họ được phép sử dụng hay truy cập; (2) Xác nhận người truy cập bằng mật khNu: Mỗi nhân viên được cấp một tên truy cập cùng với mật khNu và hệ thống chỉ cho phép truy cập đối với những tên truy cập với đúng mật khNu đã đăng ký. DN nên giới hạn số lần đăng nhập sai, thông thường khoảng 3 lần đăng nhập sai thì tên truy cập sẽ bị khóa để hạn chế rủi ro; (3) Việc đọc, ghi thêm, sửa, xóa cần quy định cụ thể cho từng chức năng, từng công việc, từng cá nhân; (4) Khóa bàn phím khi máy tính khơng được giám sát. Kỹ thuật tự động khóa bàn phím có thể làm cho bộ điều khiển máy tính khơng hoạt động, như vậy sẽ ngăn chặn được sự truy cập khi người sử dụng rời khỏi máy tính nhưng có thể vơ tình chưa thốt khỏi hệ thống. Ngoài ngăn chặn việc truy cập hệ thống trái phép, DN cần theo dõi giám sát các hoạt động truy cập vào hệ thống bằng việc sử dụng nhật ký truy cập, thường là một phần của mô-đun hệ điều hành bảo mật để theo dõi, kiểm soát thời gian đăng nhập, mã người truy cập, loại yêu cầu truy cập và dữ liệu truy cập. Đây là căn cứ tìm ra những truy cập bất hợp pháp vào hệ thống.
- Kiểm soát tránh rủi ro hư hỏng và ngưng hoạt động của thiết bị máy tính: DN cần chú ý đến các biện pháp chống cháy, Nm và các sự cố mất điện bất ngờ
nhằm giảm rủi ro hư hỏng và ngưng hoạt động của thiết bị. Ngồi ra, doanh nghiệp cần có kế hoạch bảo trì, bảo dưỡng thiết bị định kỳ, xác định được địa chỉ đáng tin cậy để thay thế, sửa chữa các thiết bị khi gặp sự cố hay hư hỏng.
- Kiểm soát hành vi phá hoại hệ thống: Hầu hết các DN hiện này đều có kết nối Internet dẫn đến rủi ro các chương trình bất hợp pháp, gián điệp bị cài đặt vào hệ thống máy tính của DN để lấy cắp dữ liệu, phá hủy dữ liệu hoặc chặn thông tin truyền đi trong hệ thống đến người sử dụng. Do đó để đảm bảo an ninh cho hệ thống DN cũng cần sử dụng các kỹ thuật công nghệ tương ứng để ngăn chặn hành vi phá hoại này.
- Kiểm soát truyền và sao lưu dữ liệu: Việc truyền tải dữ liệu có thể dẫn đến rủi ro dữ liệu bị mất, phá hủy, sửa đổi, thay thế hoặc chuyển đến những đối tượng khơng được phép. Vì vậy DN phải chú trọng việc kiểm sốt q trình truyền dữ liệu bằng cách mã hóa dữ liệu, thường xuyên kiểm tra đường truyền, sử dụng phần mềm ngăn chặn sự thâm nhập đường truyền dữ liệu của DN. Việc sao lưu dữ liệu là cần thiết để tránh mất mát dữ liệu nên DN phải kiểm soát chặt chẽ việc sao lưu này. Cụ thể, DN cần đưa ra các quy định kiểm soát sao lưu dữ liệu nêu rõ phương pháp, thời gian sao lưu, quy trình thực hiện sao lưu, phục hồi, đồng thời phải xác định rõ ràng, cụ thể trách nhiệm của các bộ phận, cá nhân trong quá trình thực hiện sao lưu dữ liệu.
- Kiểm soát xây dựng phục hồi dữ liệu bị mất: Dù DN đã áp dụng nhiều biện pháp bảo vệ và sao lưu dữ liệu nhưng các sự cố như cháy nổ, sự hư hỏng bất ngờ của phần cứng có thể sẽ xảy ra và làm mất dữ liệu kế tốn. Việc phục hồi dữ liệu bị mất đơi khi quyết định sự sống cịn của DN. Vì vậy, DN phải có kế hoạch ngăn ngừa và phục hồi dữ liệu bằng việc thực hiện sao lưu dự phòng dữ liệu. Đối với những dữ liệu đặc biệt quan trọng cần cất giữ ở nơi an toàn, ngoài phạm vi DN càng tốt. Nếu có điều kiện DN nên cài đặt những phần mềm ứng dụng cho phép phục hồi nhanh nhất dữ liệu đã mất.