I sistemi informativi hanno reso molte aziende di successo oggi. Alcune aziende come Google, Facebook, eBay, ecc. Non esisterebbero senza la tecnologia dell'informazione. Tuttavia, un uso improprio della tecnologia dell'informazione può creare problemi all'organizzazione e ai dipendenti.
I criminali che ottengono l'accesso alle informazioni della carta di credito possono causare perdite finanziarie ai proprietari delle carte o all'istituto finanziario. L'utilizzo dei sistemi informativi dell'organizzazione, ad esempio la pubblicazione di contenuti inappropriati su Facebook o Twitter utilizzando un account aziendale, può portare a cause legali e perdita di affari.
Questo tutorial affronterà le sfide poste dai sistemi informativi e cosa si può fare per ridurre al minimo o eliminare i rischi.
In questo tutorial imparerai:
- Crimine informatico
- Sicurezza del sistema informativo
- Etica del sistema informativo
- Politica della tecnologia della comunicazione dell'informazione (TIC)
Crimine informatico
Il crimine informatico si riferisce all'uso della tecnologia dell'informazione per commettere crimini. I crimini informatici possono variare da utenti di computer semplicemente fastidiosi a enormi perdite finanziarie e persino alla perdita di vite umane. Anche la crescita degli smartphone e di altri dispositivi mobili di fascia alta che hanno accesso a Internet ha contribuito alla crescita della criminalità informatica.
Tipi di criminalità informatica
Furto d'identità
Il furto di identità si verifica quando un criminale informatico impersona l'identità di qualcun altro per praticare un malfunzionamento. Questo di solito viene fatto accedendo ai dettagli personali di qualcun altro. I dettagli utilizzati in tali crimini includono numeri di previdenza sociale, data di nascita, numeri di carte di credito e di debito, numeri di passaporto, ecc.
Una volta che le informazioni sono state acquisite dal criminale informatico, possono essere utilizzate per effettuare acquisti online mentre si spaccia per qualcun altro. Uno dei modi in cui i criminali informatici utilizzano per ottenere tali dettagli personali è il phishing. Il phishing implica la creazione di siti Web falsi che assomigliano a siti Web aziendali o e-mail legittimi .
Ad esempio, un'e-mail che sembra provenire da YAHOO potrebbe chiedere all'utente di confermare i propri dati personali, inclusi i numeri di contatto e la password dell'e-mail. Se l'utente si innamora del trucco e aggiorna i dettagli e fornisce la password, l'aggressore avrà accesso ai dati personali e all'email della vittima.
Se la vittima utilizza servizi come PayPal, l'attaccante può utilizzare l'account per effettuare acquisti online o trasferire fondi.
Altre tecniche di phishing prevedono l'uso di hotspot Wi-Fi falsi che sembrano legittimi. Questo è comune nei luoghi pubblici come ristoranti e aeroporti. Se un utente ignaro accede alla rete, i crimini informatici potrebbero tentare di accedere a informazioni sensibili come nomi utente, password, numeri di carta di credito, ecc.
Secondo il Dipartimento di Giustizia degli Stati Uniti, un ex dipendente del dipartimento di stato ha utilizzato il phishing tramite e-mail per ottenere l'accesso alle e-mail e agli account dei social media di centinaia di donne e accedere a foto esplicite. È stato in grado di utilizzare le foto per estorcere le donne e ha minacciato di rendere pubbliche le foto se non avessero ceduto alle sue richieste.
Violazione del copyright
La pirateria è uno dei maggiori problemi con i prodotti digitali. I siti web come la baia dei pirati vengono utilizzati per distribuire materiale protetto da copyright come audio, video, software, ecc. La violazione del copyright si riferisce all'uso non autorizzato di materiali protetti da copyright.
Anche l'accesso veloce a Internet e la riduzione dei costi di archiviazione hanno contribuito alla crescita dei crimini di violazione del copyright.
Fare clic su frode
Le società pubblicitarie come Google AdSense offrono servizi pubblicitari pay per click. La frode dei clic si verifica quando una persona fa clic su un collegamento di questo tipo senza l'intenzione di saperne di più sul clic ma di guadagnare di più. Ciò può essere ottenuto anche utilizzando un software automatizzato che effettua i clic.
Frode sulle commissioni anticipate
Viene inviata un'e-mail alla vittima di destinazione che promette loro un sacco di soldi per aiutarli a reclamare i soldi dell'eredità.
In questi casi, il criminale di solito finge di essere un parente stretto di una persona molto ricca e nota che è morta. Afferma di aver ereditato la ricchezza del defunto ricco e ha bisogno di aiuto per rivendicare l'eredità. Chiederà assistenza finanziaria e prometterà di ricompensare in seguito. Se la vittima invia i soldi al truffatore, il truffatore svanisce e la vittima perde i soldi.
Hacking
L'hacking viene utilizzato per bypassare i controlli di sicurezza per ottenere l'accesso non autorizzato a un sistema. Una volta che l'aggressore ha ottenuto l'accesso al sistema, può fare quello che vuole. Alcune delle attività comuni svolte quando il sistema viene violato sono;
- Installa programmi che consentono agli aggressori di spiare l'utente o di controllare il suo sistema da remoto
- Disfatta i siti web
- Ruba informazioni sensibili. Questo può essere fatto utilizzando tecniche come SQL Injection, sfruttando le vulnerabilità nel software del database per ottenere l'accesso, tecniche di ingegneria sociale che inducono gli utenti a inviare ID e password, ecc.
Virus informatico
I virus sono programmi non autorizzati che possono infastidire gli utenti, rubare dati sensibili o essere utilizzati per controllare apparecchiature controllate dai computer.
Sicurezza del sistema informativo
La sicurezza MIS si riferisce alle misure messe in atto per proteggere le risorse del sistema informativo da accessi non autorizzati o da compromissione. Le vulnerabilità di sicurezza sono punti deboli in un sistema informatico, software o hardware che possono essere sfruttati dall'aggressore per ottenere accesso non autorizzato o compromettere un sistema.
Le persone come parte dei componenti del sistema informativo possono anche essere sfruttate utilizzando tecniche di ingegneria sociale. L'obiettivo dell'ingegneria sociale è ottenere la fiducia degli utenti del sistema.
Vediamo ora alcune delle minacce che il sistema informativo deve affrontare e cosa si può fare per eliminare o ridurre al minimo i danni se la minaccia dovesse materializzarsi.
Virus informatici : si tratta di programmi dannosi come descritto nella sezione precedente. Le minacce rappresentate dai virus possono essere eliminate o l'impatto ridotto al minimo utilizzando il software Anti-Virus e seguendo le migliori pratiche di sicurezza stabilite da un'organizzazione.
Accesso non autorizzato : la convenzione standard prevede l'utilizzo di una combinazione di nome utente e password. Gli hacker hanno imparato come aggirare questi controlli se l'utente non segue le migliori pratiche di sicurezza. La maggior parte delle organizzazioni ha aggiunto l'uso di dispositivi mobili come i telefoni per fornire un ulteriore livello di sicurezza.
Prendiamo Gmail come esempio, se Google sospetta l'accesso a un account, chiederà alla persona che sta per accedere per confermare la propria identità utilizzando i propri dispositivi mobili Android o inviare un SMS con un numero PIN che dovrebbe integrare il nome utente e parola d'ordine.
Se l'azienda non dispone di risorse sufficienti per implementare una sicurezza aggiuntiva come Google, può utilizzare altre tecniche. Queste tecniche possono includere porre domande agli utenti durante la registrazione, ad esempio in quale città sono cresciuti, il nome del loro primo animale domestico, ecc. Se la persona fornisce risposte accurate a queste domande, l'accesso viene concesso al sistema.
Perdita di dati : se il data center ha preso fuoco o è stato allagato, l'hardware con i dati può essere danneggiato e i dati su di esso andranno persi. Come best practice di sicurezza standard, la maggior parte delle organizzazioni conserva i backup dei dati in luoghi remoti. I backup vengono effettuati periodicamente e di solito vengono inseriti in più aree remote.
Identificazione biometrica: sta diventando molto comune soprattutto con i dispositivi mobili come gli smartphone. Il telefono può registrare l'impronta digitale dell'utente e utilizzarla per scopi di autenticazione. Ciò rende più difficile per gli aggressori ottenere l'accesso non autorizzato al dispositivo mobile. Tale tecnologia può essere utilizzata anche per impedire a persone non autorizzate di accedere ai tuoi dispositivi.
Etica del sistema informativo
L'etica si riferisce a regole di giusto e sbagliato che le persone usano per fare scelte che guidino i loro comportamenti. L'etica in MIS cerca di proteggere e salvaguardare gli individui e la società utilizzando i sistemi di informazione in modo responsabile. La maggior parte delle professioni di solito ha definito un codice etico o linee guida del codice di condotta a cui devono aderire tutti i professionisti affiliati alla professione.
In poche parole, un codice etico rende gli individui che agiscono in base al loro libero arbitrio responsabili e responsabili delle loro azioni. Un esempio di codice etico per professionisti MIS è disponibile sul sito Web della British Computer Society (BCS).
Politica della tecnologia della comunicazione dell'informazione (TIC)
Una politica ICT è un insieme di linee guida che definisce come un'organizzazione dovrebbe utilizzare la tecnologia e i sistemi informativi in modo responsabile. Le politiche ICT di solito includono linee guida su;
- Acquisto e utilizzo di apparecchiature hardware e come smaltirle in modo sicuro
- Utilizzare solo software con licenza e garantire che tutto il software sia aggiornato con le patch più recenti per motivi di sicurezza
- Regole su come creare password (applicazione della complessità), cambiare password, ecc.
- Uso accettabile della tecnologia dell'informazione e dei sistemi di informazione
- Formazione di tutti gli utenti coinvolti nell'uso di ICT e MIS
Sommario:
Con un grande potere viene una grande responsabilità. I sistemi informativi apportano nuove opportunità e vantaggi al modo in cui facciamo affari, ma introducono anche problemi che possono influire negativamente sulla società (criminalità informatica). Un'organizzazione deve affrontare questi problemi e trovare un framework (sicurezza MIS, policy ICT, ecc.) Che li affronti.