Tóm tắt kiến thức chương 20 - Hệ thống thông tin quản lý NEU

Ôn tập nhanh kiến thức cốt lõi Chương 20 - Hệ thống thông tin quản lý NEU. Bao gồm các vấn đề an toàn HTTT, quản trị rủi ro, các mức kiểm soát (tổng thể, ứng dụng), BCP, và các khía cạnh đạo đức xã hội (PAPA).

Tóm tắt Hệ thống thông tin quản lýHTTT Quản lýMIS NEUChương 20An toàn hệ thống thông tinBảo mật thông tinQuản trị rủi ro thông tinKiểm soát HTTTBCPĐạo đức trong HTTTPAPAÔn thi MIS NEU

 

20.1. VẤN ĐỀ AN TOÀN HỆ THỐNG THÔNG TIN

Hệ thống thông tin (HTTT) là một tài nguyên quan trọng nhưng ngày càng dễ bị tấn công do sự phụ thuộc vào máy tính và khả năng kết nối mạng. Nguy cơ truy cập bất hợp pháp có thể xảy ra ở bất kỳ nút truy cập nào. Dữ liệu điện tử có nguy cơ bị phá hủy và sử dụng sai mục đích nhiều hơn so với dữ liệu truyền thống (giấy tờ).

Các vụ tấn công HTTT ngày càng tăng về số lượng và độ tinh vi (tự động hóa cao, tốc độ phát hiện lỗ hổng nhanh, đe dọa từ mọi nơi). Vì vậy, các tổ chức phải xây dựng chiến lược bảo mật và an toàn thông tin.

Lưu ý quan trọng: Các biện pháp kỹ thuật truyền thống (mật khẩu, tường lửa, mã hóa) tỏ ra không hiệu quả trong trường hợp hệ thống bị tấn công từ bên trong. Thực tế cho thấy, thủ phạm chính trong các vụ lộ bí mật kinh doanh hay đánh cắp bản quyền lại chính là nhân viên hoặc nhân viên cũ của tổ chức, những người có quyền truy cập hợp pháp.

20.1.1. Những nguy cơ tiềm ẩn đối với hệ thống thông tin

Các mối nguy cơ tiềm ẩn đối với nguồn lực thông tin được chia thành hai loại:

+ Loại không có chủ định: Lỗi do con người (trong thiết kế, lập trình, nhập dữ liệu), thiên tai (động đất, lũ lụt, hỏa hoạn), hoặc lỗi của bản thân hệ thống máy tính.
+ Loại có chủ định: Bị đánh cắp dữ liệu hoặc thiết bị, bị phá hoại các nguồn lực, làm lây nhiễm virus.

Tội phạm điện tử và tội phạm Internet

+ Tội phạm điện tử (E-Crimes): Dạng tội phạm có sử dụng máy tính hoặc phương tiện điện tử trong quá trình thực hiện.
+ Tội phạm Internet (Cybercrimes): Loại hình tội phạm sử dụng máy tính và mạng (đặc biệt là Internet) để tấn công các nguồn lực HTTT.

Phân biệt Hacker và Cracker:

Đối tượngBiệt danhMục đích
HackerHacker mũ trắng (White Hat)Thâm nhập vào HTTT của tổ chức để tìm ra điểm yếu (thường mang tính xây dựng hoặc kiểm thử).
CrackerHacker mũ đen (Black Hat)Là những Hacker nguy hiểm, chủ ý thâm nhập hệ thống để phá hoại hoặc thực hiện các hành vi vi phạm pháp luật để trục lợi.

Cracker có thể sử dụng kỹ thuật "social engineering" (tạo quan hệ với nhân sự của tổ chức) để có được thông tin nhạy cảm hoặc quyền truy cập bất hợp pháp.

Hai loại hình tội phạm điện tử chủ yếu:

+ Tội phạm tấn công dữ liệu: Nhập dữ liệu không chính xác, làm sai lệch, xóa hay sửa dữ liệu (thường do chính người bên trong tổ chức thực hiện).
+ Tội phạm tấn công chương trình: Dùng kỹ thuật lập trình để thay đổi chương trình máy tính (ví dụ: virus "tự dính" hoặc "tự lây" sang các chương trình khác).

Các công nghệ an toàn thông tin

Một số công nghệ cơ bản để đối phó với tội phạm điện tử:

+ Tường lửa và máy chủ Proxy (Firewall and Proxy Servers)
+ Mã hóa và mạng riêng ảo (Encryption and VPNs)
+ Xác thực định danh và hệ thống quản trị truy cập (Identity and Access Management - IAM)
+ Công cụ lọc nội dung (Content-Filtering Tools)
+ Công cụ kiểm tra thâm nhập (Penetration-Testing Tools)

Vấn đề bảo vệ người dùng Internet

Một số biện pháp khuyến cáo cho người dùng cá nhân tự bảo vệ mình:

+ Sử dụng và cập nhật thường xuyên phần mềm chống Virus và tường lửa.
+ Không cho phép các trang bán hàng trực tuyến lưu giữ thông tin thẻ tín dụng.
+ Sử dụng mật khẩu khó đoán (gồm cả số và ký tự), đổi mật khẩu định kỳ và sử dụng mật khẩu khác nhau cho các trang web khác nhau.
+ Cài đặt tất cả các bản vá lỗi (OS patches) và nâng cấp định kỳ.
+ Chỉ gửi số thẻ tín dụng cho những trang thông tin tin cậy.
+ Chỉ mở thư điện tử nếu biết rõ nguồn gốc của thư đó.

20.1.2. An toàn thông tin trong kỷ nguyên số

Quản trị rủi ro thông tin

Quá trình quản trị rủi ro thông tin trong tổ chức bao gồm các bước:

+ Bước 1: Các nhà quản lý phải xác định các tài sản thông tin quan trọng và giá trị của chúng.
+ Bước 2: Xác định mức độ nhạy cảm của các tài sản (tổ chức có thể duy trì hoạt động trong bao lâu nếu không có tài sản đó).
+ Bước 3: Phát triển và thực thi các thủ tục an toàn thông tin để bảo vệ tài sản (cần dự kiến phân bổ tài chính và nguồn nhân lực).

Các chiến lược giảm nhẹ rủi ro:

+ Chấp nhận rủi ro: Chấp nhận rủi ro tiềm năng, tiếp tục hoạt động mà không dùng biện pháp bảo vệ, chấp nhận thiệt hại xảy ra.
+ Giảm nhẹ rủi ro: Giới hạn rủi ro bằng cách triển khai các biện pháp bảo vệ để giảm thiểu ảnh hưởng.
+ Chuyển giao rủi ro: San sẻ rủi ro (ví dụ: bằng cách mua bảo hiểm rủi ro thông tin).

Các mức kiểm soát hệ thống thông tin

Để giảm thiểu lỗi và hiểm họa, cần xây dựng các chính sách và thủ tục kiểm soát ngay từ khi thiết kế HTTT. Kiểm soát HTTT được chia làm hai mức độ:

Mức kiểm soátPhạm vi và Mục tiêu
Kiểm soát tổng thể (General Controls)Tập trung vào kiểm soát chung về thiết kế, an toàn và sử dụng các chương trình, an toàn tệp dữ liệu trên phạm vi toàn tổ chức. Áp dụng cho mọi ứng dụng tin học hóa.
Kiểm soát ứng dụng (Application Controls)Tập trung vào việc kiểm soát chuyên biệt cho một ứng dụng cụ thể.

Kiểm soát tổng thể

Được thực hiện nhằm đảm bảo sự hoạt động hiệu quả của các quy trình tự động hóa. Các kiểm soát tổng thể bao gồm:

+ Kiểm soát quá trình triển khai hệ thống: Kiểm soát quá trình phát triển hệ thống ở tất cả các giai đoạn (đánh giá, phân tích chi phí-lợi ích, đảm bảo chất lượng phần mềm, tài liệu hóa...).
+ Kiểm soát phần mềm: Đảm bảo tính an toàn và độ tin cậy của phần mềm, giám sát việc sử dụng phần mềm hệ thống và ngăn chặn sử dụng trái phép.
+ Kiểm soát phần cứng: Đảm bảo chỉ người có quyền hạn mới được sử dụng phần cứng, tránh hiểm họa (cháy, ẩm), có phương án dự phòng (mất điện).
+ Kiểm soát an toàn dữ liệu: Đảm bảo các tệp dữ liệu không bị truy cập trái phép hoặc bị phá hủy (sử dụng mật khẩu, phân quyền người dùng).
+ Kiểm soát hành chính: Các quy tắc thủ tục chính thức. Ba biện pháp quan trọng: (1) Phân chia trách nhiệm và công việc, (2) Ban hành văn bản pháp quy chính thức, (3) Giám sát các đối tượng liên quan.

Lưu ý: Nếu kiểm soát HTTT ở mức tổng thể không được thực hiện tốt thì sẽ gây ra ảnh hưởng rất lớn đến các thủ tục, chương trình và dữ liệu của toàn tổ chức.

Kiểm soát mức ứng dụng

Là hình thức kiểm soát giới hạn trong phạm vi một ứng dụng, đảm bảo chỉ những dữ liệu hợp lệ mới được xử lý. Gồm 3 nhóm:

+ Kiểm soát đầu vào (Input): Kiểm tra tính chính xác và đầy đủ của dữ liệu khi nhập liệu (ví dụ: quy định nhân viên nào được nhập, sử dụng thiết bị quét POS tự động).
+ Kiểm soát xử lý (Processing): Đảm bảo các dữ liệu được cập nhật một cách chính xác và đầy đủ (ví dụ: kiểm tra tính hợp lệ của dữ liệu - thuộc khoảng giá trị, thuộc kiểu dữ liệu...).
+ Kiểm soát đầu ra (Output): Đảm bảo các kết quả xử lý là chính xác, đầy đủ và được phân phối đến đúng đối tượng sử dụng.

Chính sách an toàn thông tin

Là một văn bản viết, quy định rõ những gì là được phép và không được phép đối với việc sử dụng thông tin trong tổ chức, và các hình thức xử lý nếu vi phạm. Một tổ chức không có chính sách an toàn thông tin bằng văn bản bị coi như không có chính sách.

Khi xây dựng chính sách: Cần có sự tham gia của đại diện người sử dụng, sự hỗ trợ của các nhà quản lý, và ý kiến của nhân viên. Ủy ban chính sách phải họp đều đặn để đảm bảo chính sách tuân thủ các điều luật hiện hành.

Nội dung cơ bản của chính sách:

+ Chính sách về kiểm soát truy cập thông tin (mật khẩu, mã hóa).
+ Chính sách về truy cập thông tin từ bên ngoài (an toàn mạng Internet, VPN, email).
+ Chính sách về người sử dụng và an ninh thiết bị (điều khoản sử dụng hợp lệ).

Quản trị chính sách: Phải tạo điều kiện cho nhân viên tham khảo phiên bản mới nhất (đưa lên mạng intranet). Nhân viên mới phải đọc kỹ và ký cam kết tuân thủ như một điều kiện trong hợp đồng lao động.

Lập kế hoạch duy trì hoạt động liên tục của tổ chức (BCP)

Là việc xây dựng các kế hoạch nhằm đảm bảo các nhân viên và các tiến trình nghiệp vụ vẫn tiếp tục hoạt động được khi HTTT gặp sự cố bất thường. Quá trình này bắt đầu bằng việc phân tích ảnh hưởng (Business Impact Analysis) để xác định các tiến trình nghiệp vụ quan trọng.

Các yêu cầu để duy trì hoạt động kinh doanh liên tục:

+ Thiết kế nhiều không gian làm việc khác nhau (dự phòng) với đầy đủ trang bị.
+ Các điểm sao lưu CNTT không quá gần (để không bị ảnh hưởng chung của thảm họa) nhưng cũng không quá xa (để tiện liên lạc).
+ Có kế hoạch sơ tán phù hợp, cập nhật và đảm bảo mọi nhân viên được diễn tập.
+ Sao lưu dữ liệu trên cả máy tính xách tay và máy chủ (không chỉ ở trung tâm dữ liệu).
+ Giúp nhân viên vượt qua thảm họa bằng cách cung cấp danh bạ liên lạc.

Kế hoạch BCP cần xác định rõ ai làm gì, trong điều kiện nào, và quan trọng nhất là phải được thử nghiệm (dù tốn kém chi phí và thời gian).

Quản trị dữ liệu điện tử của tổ chức (ERM)

Là một phương thức quản trị các tài liệu điện tử quan trọng trong mỗi tổ chức. Nhu cầu này ngày càng cấp thiết, đặc biệt khi các nước ban hành các điều luật (yêu cầu tổ chức lưu trữ tài liệu điện tử).

20.2. VẤN ĐỀ ĐẠO ĐỨC VÀ XÃ HỘI LIÊN QUAN ĐẾN HỆ THỐNG THÔNG TIN

HTTT trong các doanh nghiệp, tổ chức ngày nay cũng cần phải được xem xét dưới góc độ đạo đức của vấn đề.

20.2.1. Khái niệm đạo đức

Các giá trị đạo đức bị ảnh hưởng bởi nền tảng văn hóa của mỗi người (ví dụ: quan niệm Á Đông và Phương Tây). Các thuyết đạo đức cơ bản hội tụ về ba giá trị: Tôn trọng phẩm giá con người, Tôn trọng quyền cơ bản, và Công dân tốt. Một số thuyết đạo đức chính:

+ Luật tự nhiên (Natural law): Con người cần được phát triển sức khoẻ, theo đuổi tri thức, và phục tùng các quyền lực pháp lý.
+ Thuyết vị lợi (Utilitarism): Hoạt động được coi là đúng khi nó tạo ra những cái tốt nhất cho số đông người nhất.
+ Sự tôn trọng người khác: Con người được xem là mục đích chứ không phải là phương tiện.

20.2.2. Những khía cạnh đạo đức và xã hội của hệ thống thông tin

Việc sử dụng HTTT có tác động lớn tới xã hội, làm tăng thêm sự trầm trọng của các vấn đề như: vi phạm sự riêng tư, tội phạm, sức khoẻ, điều kiện làm việc, việc làm. HTTT có thể mang lại ảnh hưởng có lợi (sản phẩm chất lượng cao hơn, giá thành thấp hơn) và bất lợi (giảm nhu cầu lao động, giảm sự thoả mãn của người lao động). Chúng ta phải quản lý để hạn chế tác động xấu và tối đa hóa tác động có lợi.

Bốn nguyên tắc đạo đức của việc triển khai công nghệ:

+ Sự cân đối: Cái tốt đẹp đạt được qua công nghệ phải lớn hơn sự tổn hại và rủi ro.
+ Sự ưng thuận: Những người bị ảnh hưởng bởi công nghệ phải được hiểu và chấp nhận những rủi ro.
+ Lợi lộc và thua thiệt (Công bằng): Lợi ích và thua thiệt phải được phân phối một cách công bằng.
+ Tối thiểu hóa rủi ro: Phải triển khai sao cho tránh được những rủi ro không cần thiết.

Mô hình 4 vấn đề đạo đức của thông tin (Mason tóm tắt bằng từ viết tắt PAPA):

Vấn đềCâu hỏi đạo đức cốt lõi
P - Privacy (Tính riêng tư)Thông tin nào về cá nhân mà một người phải bộc lộ ra? Những gì con người được giữ riêng cho mình?
A - Accuracy (Tính chính xác)Ai chịu trách nhiệm về tính xác thực, tin cậy và chính xác của thông tin? Ai chịu trách nhiệm về những sai sót?
P - Property (Sở hữu)Ai sở hữu thông tin? Giá trị đúng và hợp lý của nó là bao nhiêu? Ai làm chủ những đường truyền thông?
A - Accessibility (Truy nhập)Thông tin nào mà một người/tổ chức được quyền thu được? Với điều kiện nào? Với sự bảo vệ nào?

Để giải quyết các vấn đề trên, HTTT thiết kế ra phải đảm bảo tính chính xác, không xâm phạm sự riêng tư, và tránh bị đánh cắp. Đây là trách nhiệm của nhà quản lý, chuyên viên HTTT và người sử dụng cuối.

20.2.3. Công nghệ thông tin và việc làm

CNTT có ảnh hưởng hai mặt đến việc làm:

+ Tích cực: Tạo ra việc làm mới và nâng cao năng suất lao động.
+ Tiêu cực: Là nguyên nhân giảm đáng kể một số cơ hội việc làm do tự động hóa (ví dụ: máy tính thay thế nhiệm vụ soạn thảo văn bản, robot thay thế kỹ thuật viên).
Công việc mới đòi hỏi kỹ năng và đào tạo khác. Nhiều người có thể bị thất nghiệp nếu không được đào tạo lại (retrain) cho vị trí mới.

20.2.4. Công nghệ thông tin và tính cách con người

Có nhiều ý kiến phê phán CNTT có ảnh hưởng xấu tới tính cách con người:

+ Bị cho là phi nhân tính (dehumanizing): Nó loại bỏ sự hiện diện của quan hệ giữa con người. HTTT làm việc với con người thông qua một con số (mã) thay vì tên, làm nhiều người cảm thấy mất đi tính nhận dạng.
+ Bị cho là cứng nhắc: Hệ thống đòi hỏi sự bám dính vào các thủ tục chi tiết. Hệ thống không mềm dẻo và "không trắc ẩn" khi con người mắc lỗi (ví dụ: hệ thống thanh toán tự động cứ khăng khăng đòi tiền dù khách hàng đã thanh toán).

20.2.5. Công nghệ thông tin và điều kiện làm việc

Tác động tích cực: CNTT giúp loại bỏ sự đơn điệu và nhàm chán của một số công việc (ví dụ: robot đảm nhận việc lắp ráp, phun sơn). Nó giúp người lao động tập trung vào công việc thách thức và thú vị hơn, nâng cao trình độ kỹ năng và sự hài lòng đối với công việc.

Tác động tiêu cực: Một số công việc của HTTT vẫn còn đơn điệu (như nhập dữ liệu). Tự động hóa dây chuyền sản xuất có thể đẩy con người đến chỗ "không phải làm gì" ngoài việc chờ và bấm nút, gây giảm hưng phấn và tính sáng tạo.

Giám sát người lao động bằng máy tính: Đây là vấn đề gây tranh luận nhiều về mặt đạo đức. Máy tính giám sát năng suất và hành vi của nhân viên. Dù giúp chủ công ty thu thập dữ liệu để tăng hiệu quả, nhưng việc này bị chỉ trích là phi đạo đức vì nó giám sát con người chứ không thuần túy là công việc, có thể vi phạm tính riêng tư và tự do. Việc bị theo dõi thường xuyên có thể tạo ra sức ép tâm lý và làm giảm phẩm giá công việc.

20.2.6. Vấn đề bảo mật thông tin cá nhân

Bảo mật thông tin cá nhân (Privacy) là khả năng kiểm soát thông tin về bản thân mỗi cá nhân. HTTT giúp thu thập, lưu trữ, trao đổi thông tin nhanh hơn (tốt cho hiệu quả), nhưng sức mạnh đó có thể có tác động xấu tới quyền riêng tư của cá nhân.

Ví dụ: Các công ty theo dõi thư tín điện tử (kể cả thư thân tình) của nhân viên; thông tin cá nhân bị thu thập mỗi khi vào một trang Web. Thông tin riêng tư trong cơ sở dữ liệu của các tổ chức (tín dụng, chính phủ) có thể bị ăn cắp hoặc lợi dụng. Một sai sót nhỏ trong CSDL có thể làm sai lệch nghiêm trọng trạng thái tín dụng hoặc danh tiếng của cá nhân.

Khoá học liên quan
Đề thi liên quan
Kiến thức tương tự