Systemy informacyjne przyniosły dziś sukcesy wielu firmom. Niektóre firmy, takie jak Google, Facebook, EBay itp., Nie istniałyby bez technologii informatycznych. Jednak niewłaściwe wykorzystanie technologii informatycznych może stwarzać problemy dla organizacji i pracowników.
Przestępcy zdobywający dostęp do informacji o kartach kredytowych mogą doprowadzić do strat finansowych właścicieli kart lub instytucji finansowej. Korzystanie z systemów informatycznych organizacji, tj. Umieszczanie nieodpowiednich treści na Facebooku lub Twitterze przy użyciu konta firmowego, może prowadzić do procesów sądowych i utraty interesów.
Ten samouczek zajmie się wyzwaniami, jakie stawiają systemy informacyjne, oraz sposobami minimalizacji lub wyeliminowania ryzyka.
W tym samouczku nauczysz się -
- Cyberprzestępczość
- Bezpieczeństwo systemu informacyjnego
- Etyka systemu informacyjnego
- Polityka w zakresie technologii informacyjno-komunikacyjnych (TIK)
Cyberprzestępczość
Cyberprzestępczość odnosi się do wykorzystywania technologii informatycznych do popełniania przestępstw. Cyberprzestępstwa mogą obejmować zarówno po prostu irytujące użytkowników komputerów, jak i ogromne straty finansowe, a nawet utratę życia ludzkiego. Wzrost liczby smartfonów i innych zaawansowanych urządzeń mobilnych, które mają dostęp do internetu, również przyczynił się do wzrostu cyberprzestępczości.
Rodzaje cyberprzestępczości
Kradzież tożsamości
Kradzież tożsamości ma miejsce, gdy cyberprzestępca podszywa się pod inną tożsamość, aby praktykować nieprawidłowe działanie. Zwykle odbywa się to poprzez dostęp do danych osobowych innej osoby. Dane wykorzystywane w takich przestępstwach obejmują numery ubezpieczenia społecznego, datę urodzenia, numery kart kredytowych i debetowych, numery paszportów itp.
Po zdobyciu informacji przez cyberprzestępcę można je wykorzystać do robienia zakupów online, podszywając się pod siebie, aby być kimś innym. Jednym ze sposobów uzyskiwania takich danych osobowych przez cyberprzestępców jest phishing. Phishing polega na tworzeniu fałszywych witryn internetowych, które wyglądają jak legalne witryny firmowe lub wiadomości e-mail .
Na przykład e-mail, który wydaje się pochodzić od YAHOO, może prosić użytkownika o potwierdzenie jego danych osobowych, w tym numerów kontaktowych i hasła e-mail. Jeśli użytkownik wpadnie w podstęp i zaktualizuje dane i poda hasło, osoba atakująca będzie miała dostęp do danych osobowych i adresu e-mail ofiary.
Jeśli ofiara korzysta z usług takich jak PayPal, osoba atakująca może użyć konta do dokonywania zakupów online lub przesyłania środków.
Inne techniki phishingu obejmują wykorzystanie fałszywych hotspotów Wi-Fi, które wyglądają jak prawdziwe. Jest to powszechne w miejscach publicznych, takich jak restauracje i lotniska. Jeśli niczego nie podejrzewający użytkownik zaloguje się do sieci, cyberprzestępcy mogą próbować uzyskać dostęp do poufnych informacji, takich jak nazwy użytkowników, hasła, numery kart kredytowych itp.
Według Departamentu Sprawiedliwości Stanów Zjednoczonych były pracownik Departamentu Stanu wykorzystywał e-maile do phishingu, aby uzyskać dostęp do poczty elektronicznej i kont w mediach społecznościowych setek kobiet oraz uzyskać dostęp do wyraźnych zdjęć. Był w stanie wykorzystać te zdjęcia do wymuszenia na kobietach i zagroził, że upubliczni je, jeśli nie spełnią jego żądań.
naruszenie praw autorskich
Piractwo to jeden z największych problemów związanych z produktami cyfrowymi. Strony internetowe, takie jak Pirate Bay, są wykorzystywane do rozpowszechniania materiałów chronionych prawem autorskim, takich jak audio, wideo, oprogramowanie itp. Naruszenie praw autorskich oznacza nieautoryzowane użycie materiałów chronionych prawem autorskim.
Szybki dostęp do Internetu i zmniejszenie kosztów przechowywania również przyczyniły się do wzrostu liczby przestępstw naruszających prawa autorskie.
Kliknij oszustwo
Firmy reklamowe, takie jak Google AdSense, oferują usługi reklamowe typu pay per click. Oszustwa związane z kliknięciami mają miejsce, gdy osoba klika takie łącze bez zamiaru dowiedzenia się więcej o kliknięciu, ale w celu zarobienia większych pieniędzy. Można to również osiągnąć za pomocą zautomatyzowanego oprogramowania, które wykonuje kliknięcia.
Oszustwa związane z opłatą z góry
Do docelowej ofiary wysyłany jest e-mail, który obiecuje jej dużo pieniędzy na pomoc w odzyskaniu pieniędzy z spadku.
W takich przypadkach przestępca zwykle udaje bliskiego krewnego zmarłej bardzo bogatej i znanej osoby. Twierdzi, że odziedziczył majątek zmarłego bogatego człowieka i potrzebuje pomocy w dochodzeniu spadku. Poprosi o pomoc finansową i obiecuje wynagrodzenie później. Jeśli ofiara prześle pieniądze oszustom, oszust znika, a ofiara traci pieniądze.
Hakerstwo
Hakowanie służy do ominięcia kontroli bezpieczeństwa w celu uzyskania nieautoryzowanego dostępu do systemu. Gdy atakujący uzyska dostęp do systemu, może robić, co tylko zechce. Niektóre z typowych czynności wykonywanych podczas włamania do systemu to;
- Zainstaluj programy umożliwiające atakującym szpiegowanie użytkownika lub zdalne sterowanie systemem
- Zniszcz strony internetowe
- Kradnij poufne informacje. Można to zrobić za pomocą technik takich jak SQL Injection, wykorzystywanie luk w oprogramowaniu bazy danych w celu uzyskania dostępu, technik inżynierii społecznej, które nakłaniają użytkowników do podania identyfikatorów i haseł itp.
Wirus komputerowy
Wirusy to nieautoryzowane programy, które mogą irytować użytkowników, kraść poufne dane lub być używane do kontrolowania sprzętu kontrolowanego przez komputery.
Bezpieczeństwo systemu informacyjnego
Bezpieczeństwo MIS odnosi się do środków wprowadzonych w celu ochrony zasobów systemu informatycznego przed nieautoryzowanym dostępem lub włamaniem. Luki w zabezpieczeniach to słabe punkty systemu komputerowego, oprogramowania lub sprzętu, które osoba atakująca może wykorzystać w celu uzyskania nieautoryzowanego dostępu lub złamania zabezpieczeń systemu.
Ludzie jako część komponentów systemu informacyjnego mogą być również wykorzystywani przy użyciu technik inżynierii społecznej. Celem inżynierii społecznej jest zdobycie zaufania użytkowników systemu.
Przyjrzyjmy się teraz niektórym zagrożeniom, przed którymi stoi system informacyjny i co można zrobić, aby wyeliminować lub zminimalizować szkody, gdyby zagrożenie się zmaterializowało.
Wirusy komputerowe - są to złośliwe programy opisane w powyższej sekcji. Zagrożenia stwarzane przez wirusy można wyeliminować lub zminimalizować ich wpływ, stosując oprogramowanie antywirusowe i przestrzegając ustalonych najlepszych praktyk bezpieczeństwa organizacji.
Nieautoryzowany dostęp - standardową konwencją jest użycie kombinacji nazwy użytkownika i hasła. Hakerzy nauczyli się omijać te mechanizmy kontroli, jeśli użytkownik nie przestrzega najlepszych praktyk w zakresie bezpieczeństwa. Większość organizacji dodała urządzenia mobilne, takie jak telefony, aby zapewnić dodatkową warstwę bezpieczeństwa.
Weźmy jako przykład Gmaila, jeśli Google podejrzewa logowanie do konta, poprosi osobę, która ma się zalogować, o potwierdzenie swojej tożsamości za pomocą urządzeń mobilnych z systemem Android lub wyśle SMS-a z numerem PIN, który powinien uzupełnić nazwę użytkownika i hasło.
Jeśli firma nie ma wystarczających zasobów, aby wdrożyć dodatkowe zabezpieczenia, takie jak Google, może skorzystać z innych technik. Techniki te mogą obejmować zadawanie użytkownikom pytań podczas rejestracji, takich jak miasto, w którym dorastali, imię ich pierwszego zwierzaka itp. Jeśli osoba udzieli dokładnych odpowiedzi na te pytania, dostęp do systemu zostanie przyznany.
Utrata danych - jeśli centrum danych zapaliło się lub zostało zalane, sprzęt z danymi może zostać uszkodzony, a dane na nim zostaną utracone. Zgodnie ze standardową najlepszą praktyką w zakresie bezpieczeństwa większość organizacji przechowuje kopie zapasowe danych w odległych miejscach. Kopie zapasowe są tworzone okresowo i zwykle umieszczane w więcej niż jednym odległym obszarze.
Identyfikacja biometryczna - jest to obecnie bardzo powszechne, zwłaszcza w przypadku urządzeń mobilnych, takich jak smartfony. Telefon może rejestrować odcisk palca użytkownika i wykorzystywać go do celów uwierzytelniania. Utrudnia to atakującym uzyskanie nieautoryzowanego dostępu do urządzenia mobilnego. Taka technologia może również służyć do powstrzymywania nieautoryzowanych osób przed uzyskaniem dostępu do Twoich urządzeń.
Etyka systemu informacyjnego
Etyka odnosi się do zasad dobra i zła, którymi ludzie kierują się przy dokonywaniu wyborów. Etyka w MIS ma na celu ochronę i ochronę jednostek i społeczeństwa poprzez odpowiedzialne korzystanie z systemów informatycznych. Większość zawodów ma zwykle zdefiniowany kodeks etyczny lub wytyczne dotyczące kodeksu postępowania, których muszą przestrzegać wszyscy pracownicy związani z tym zawodem.
Krótko mówiąc, kodeks etyczny czyni osoby działające z własnej woli odpowiedzialnymi i odpowiedzialnymi za swoje czyny. Przykład Kodeksu Etyki dla specjalistów MIS można znaleźć na stronie British Computer Society (BCS).
Polityka w zakresie technologii informacyjno-komunikacyjnych (TIK)
Polityka ICT to zbiór wytycznych, które określają, w jaki sposób organizacja powinna odpowiedzialnie korzystać z technologii informatycznych i systemów informatycznych. Polityka w zakresie TIK zwykle zawiera wytyczne dotyczące;
- Zakup i użytkowanie sprzętu komputerowego oraz sposób jego bezpiecznego usuwania
- Korzystanie wyłącznie z licencjonowanego oprogramowania i zapewnienie, że całe oprogramowanie jest aktualne z najnowszymi poprawkami ze względów bezpieczeństwa
- Zasady tworzenia haseł (wymuszanie złożoności), zmiana haseł itp.
- Dopuszczalne wykorzystanie technologii informatycznych i systemów informatycznych
- Szkolenie wszystkich użytkowników korzystających z ICT i MIS
Podsumowanie:
Z dużą mocą przychodzi duża odpowiedzialność. Systemy informacyjne niosą ze sobą nowe możliwości i korzyści w naszej działalności, ale wprowadzają również problemy, które mogą negatywnie wpłynąć na społeczeństwo (cyberprzestępczość). Organizacja musi zająć się tymi kwestiami i opracować ramy (bezpieczeństwo MIS, polityka ICT itp.), Które je rozwiązują.