Information systems auditing : privacy preserving and continuous auditing issues ;

 
Το τεκμήριο παρέχεται από τον φορέα :

Αποθετήριο :
Ιδρυματικό Αποθετήριο Ελλάνικος (Hellanicus)
δείτε την πρωτότυπη σελίδα τεκμηρίου
στον ιστότοπο του αποθετηρίου του φορέα για περισσότερες πληροφορίες και για να δείτε όλα τα ψηφιακά αρχεία του τεκμηρίου*
κοινοποιήστε το τεκμήριο




2014 (EL)

Ελεγκτική πληροφοριακών συστημάτων : ζητήματα διατήρησης ιδιωτικότητας και συνεχούς ελέγχου (EL)
Information systems auditing : privacy preserving and continuous auditing issues ; (EL)

Λαμπρίδης, Νικόλαος - Ελευθέριος
Βαβούρη, Ειρήνη - Εμμανουήλ

Πανεπιστήμιο Αιγαίου. Σχολή Θετικών Επιστημών. Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων. Τεχνολογίες και Διοίκηση Πληροφοριακών και Επικοινωνιακών Συστημάτων. (EL)

Η Ελεγκτική ΠΣ, κατά τον Ron Weber, είναι «η διαδικασία συλλογής και αξιολόγησης των αποδεικτικών στοιχείων για να προσδιοριστεί αν ένα πληροφοριακό σύστημα διασφαλίζει τα περιουσιακά στοιχεία, διατηρεί την ακεραιότητα των δεδομένων, επιτυγχάνει τους οργανωτικούς στόχους αποτελεσματικά και καταναλώνει τους πόρους αποδοτικά». Σκοπός της είναι να παρέχει επανεξέταση, επανατροφοδότηση, διαβεβαιώσεις και προτάσεις και αυτό το πετυχαίνει μέσω διαδικασιών, ακολουθώντας τα παρακάτω βήματα: 1) Σχεδιασμός, 2) Μελέτη και Εκτίμηση Ελέγχων, 3) Δοκιμή και Εκτίμηση Ελέγχων, 4) Αναφορές – Εκθέσεις και 5) Συνεχής Ενημέρωση.Ο Συνεχής έλεγχος, κατά τον Vasarhelyi, είναι «μια σταδιακή μετάβαση σε πρακτικές ελέγχου προς την κατεύθυνση του μέγιστου δυνατού βαθμού αυτοματοποίησης ελέγχου ως έναν τρόπο για να επωφεληθούμε από την τεχνολογική βάση της σύγχρονης επιχείρησης, προκειμένου να μειωθεί το κόστος ελέγχου και να αυξηθεί ο έλεγχος αυτοματισμού […]». Η Ιδιωτικότητα από την άλλη πλευρά, καθώς μπορεί να πάρει πολλές σημασίες, ανάλογα με το πλαίσιο που αυτή αναφέρεται. Μπορεί να θεωρηθεί ως περιγραφική ή καθοδηγητική, ως ηθικό συμφέρον ή νόμιμο δικαίωμα. Αυτό μπορεί να σημαίνει ελευθερία από ανεπιθύμητη προσοχή τρίτων ή ελευθερία από παρατήρηση ή επιτήρηση. Μπορεί να καλύψει το απόρρητο της επικοινωνίας, καθώς και της πληροφορίας. Στην απλούστερη μορφή της, η ιδιωτικότητα έχει οριστεί ως «το δικαίωμα να μείνει κάποιος μόνος του».Η Ελεγκτική οριοθετείται από ορισμένα πλαίσια. Τα πιο σημαντικά είναι: 1)το COBIT, το οποίο παρέχει εργαλεία υποστήριξης και συνδέει τον εσωτερικό έλεγχο, τα τεχνικά ζητήματα και τους κινδύνους στα ΠΣ, 2)το COSO, που παρέχει συμβουλές και διαδικασίες σε θέματα επιχειρηματικής ηθικής, εσωτερικού ελέγχου, διαχείρισης κινδύνου, απάτης και χρηματοοικονομικής πληροφόρησης, 3)το ITIL, de facto πρότυπο για θεμελιώδεις διαδικασίες διαχείρισης υπηρεσιών, 4)το AS5 πλαίσιο εσωτερικού ελέγχου σε οικονομικές αναφορές και καταστάσεις των ΠΣ, και 5)το ISO 19011:2002, που διαχειρίζεται προγράμματα ελέγχου του συστήματος διαχείρισης της ποιότητας.Ο Συνεχής Έλεγχος, διαθέτει τρεις τύπους συστημάτων: το EAM που εισάγεται μέσα στην εφαρμογή του πελάτη, το EAM ghosting που διατηρεί ένα αντίγραφο της εφαρμογής του πελάτη σε διαφορετικό υλισμικό, και το MCL που χρησιμοποιεί ένα στρώμα Middleware και «αγκιστρώνεται» στην εφαρμογή του πελάτη. Υπάρχουν πολλοί περιορισμοί και στις τρεις αυτές τεχνολογίες, κυρίως σε τεχνικά, πρακτικά ζητήματα και ζητήματα των εξωτερικών ελεγκτών. Πέραν όμως της ανάλυσης της τεχνολογίας του ΣΕ, μέσα από μια μελέτη υιοθέτησης αυτής της τεχνολογίας σε ένα δείγμα εταιριών (Vasarhelyi, Alles, Kuenkaikaew:2012), προκύπτει ότι ο Συνεχής Έλεγχος στις περισσότερες επιχειρήσεις βρίσκεται στα στάδια μεταξύ αρχικής ανάπτυξης και φάσης ωριμότητας, όπου συμπεραίνουμε ότι υπάρχει τάση να αναπτυχθεί η τεχνολογία αυτή και να υιοθετηθεί η κουλτούρα του Συνεχούς Ελέγχου.Στην Ιδιωτικότητα, υπάρχουν δύο βασικές λύσεις όπου επιλέγουν να χρησιμοποιήσουν τα μοντέλα διατήρησης της Ιδιωτικότητας: η MAC-based λύση και η HLA-based λύση. Το πρώτο μοντέλο, «Privacy Preserving Auditing Scheme», κάνει χρήση του HLA με τυχαία συγκάλυψη (random masking) και με αυτόν τον τρόπο ο ελεγκτής δεν μαθαίνει το περιεχόμενο των δεδομένων που είναι αποθηκευμένα στον διακομιστή cloud. Το δεύτερο μοντέλο, «NC Audit», συνδυάζει το SpaceMac, ένα ομομορφικό σύστημα MAC για την κωδικοποίηση δικτύου, και το NCrypt, ένα καινούριο ασφαλές σύστημα κρυπτογράφησης CPA (chosen plaintext attack) που είναι συμβατό με το SpaceMac για να πετύχει την διατήρηση της Ιδιωτικότητας. Στο τρίτο μοντέλο, «Oruta», γίνεται για πρώτη φορά η διαφύλαξη της Ιδιωτικότητας σε διαμοιρασμένα αρχεία στο cloud για στατικές ομάδες πελατών, ενώ στο μοντέλο «Knox», που αποτελεί βελτίωση του Oruta, διασφαλίζεται η Ιδιωτικότητα και σε δυναμικές ομάδες που διαμοιράζονται τα αρχεία τους. Το τελευταίο μοντέλο, το «Interdomain Audit Framework», διαθέτει επιπλέον χαρακτηριστικά, όπως η ανιχνευσιμότητα επιθέσεων, και εφαρμόζεται σε πιο σύγχρονα ΠΣ εταιριών που αποτελούν και τμήματα εφοδιαστικών αλυσίδων.Τέλος, τίθενται κάποιες προκλήσεις στον Συνεχή Έλεγχο και στις τεχνολογίες του, όπως κατά πόσο το ΕΑΜ είναι ανεξάρτητο ή αν αποσκοπεί στο δημόσιο συμφέρον, ποιες είναι οι ευθύνες των ελεγκτών όταν αποτυγχάνουν να ανιχνεύσουν ανακρίβειες ή απάτες, αν οι εναλλακτικές λύσεις του ΕΑΜ είναι οικονομικότερες και αποδοτικότερες από το ίδιο και επίσης πως επηρεάζονται οι επιχειρήσεις στην λήψη αποφάσεων από την συνεχή παρακολούθηση των δραστηριοτήτων τους.Ομοίως, στην Ιδιωτικότητα, η μελλοντική έρευνα θα πρέπει να εστιάζει σε μεγαλύτερης κλίμακας εταιρίες με πολύπλοκα ΠΣ και να ενσωματώνει επίσης μηχανισμούς ανιχνευσιμότητας απειλών και επιθέσεων. Δύο λύσεις στο πρόβλημα της Ιδιωτικότητας αποτελούν τα μοντέλα SRA και P-SRA, τα οποία ελέγχουν τους cloud παρόχους που φιλοξενούν τα ΠΣ των εταιριών και με αυτόν τον τρόπο μπορεί να διασφαλιστεί η Ιδιωτικότητα.

masterThesis

Ελεγκτική πληροφοριακών συστημάτων (EL)
Audit (EL)
Cloud audit (EL)
Διατήρηση ιδιωτικότητας (EL)
Συνεχής έλεγχος (EL)
Continuous auditing (EL)
Privacy-preserving (EL)
Ελεγκτική (EL)
Is auditing (EL)
Auditing (EL)


2014


2015-11-18T10:39:49Z

Σάμος




*Η εύρυθμη και αδιάλειπτη λειτουργία των διαδικτυακών διευθύνσεων των συλλογών (ψηφιακό αρχείο, καρτέλα τεκμηρίου στο αποθετήριο) είναι αποκλειστική ευθύνη των αντίστοιχων Φορέων περιεχομένου.