Information systems auditing : privacy preserving and continuous auditing issues ;

Η Ελεγκτική ΠΣ, κατά τον Ron Weber, είναι «η διαδικασία συλλογής και αξιολόγησης των αποδεικτικών στοιχείων για να προσδιοριστεί αν ένα πληροφοριακό σύστημα διασφαλίζει τα περιουσιακά στοιχεία, διατηρεί την ακεραιότητα των δεδομένων, επιτυγχάνει τους οργανωτικούς στόχους αποτελεσματικά και καταναλών...

Πλήρης περιγραφή

Αποθηκεύτηκε σε:
Λεπτομέρειες βιβλιογραφικής εγγραφής
Κύριοι συγγραφείς: Βαβούρη, Ειρήνη - Εμμανουήλ, Λαμπρίδης, Νικόλαος - Ελευθέριος
Άλλοι συγγραφείς: Κοκολάκης, Σπύρος
Γλώσσα:Greek
Δημοσίευση: 2015
Θέματα:
Διαθέσιμο Online:http://catalog.lib.aegean.gr/webopac/FullBB.csp?WebAction=ShowFullBB&EncodedRequest=*3D*CF4*8C*E0*1A*B2*CF*14*B7*13*EF*F5*F3*AC*7C&Profile=Default&OpacLanguage=gre&NumberToRetrieve=50&StartValue=1&WebPageNr=1&SearchTerm1=2013.1.46577&SearchT1=&Index1=Keywordsbib&SearchMethod=Find_1&ItemNr=1
http://hdl.handle.net/11610/12526
Ετικέτες: Προσθήκη ετικέτας
Δεν υπάρχουν, Καταχωρήστε ετικέτα πρώτοι!
_version_ 1828462027175100416
author Βαβούρη, Ειρήνη - Εμμανουήλ
Λαμπρίδης, Νικόλαος - Ελευθέριος
author2 Κοκολάκης, Σπύρος
author_facet Κοκολάκης, Σπύρος
Βαβούρη, Ειρήνη - Εμμανουήλ
Λαμπρίδης, Νικόλαος - Ελευθέριος
author_sort Βαβούρη, Ειρήνη - Εμμανουήλ
collection DSpace
description Η Ελεγκτική ΠΣ, κατά τον Ron Weber, είναι «η διαδικασία συλλογής και αξιολόγησης των αποδεικτικών στοιχείων για να προσδιοριστεί αν ένα πληροφοριακό σύστημα διασφαλίζει τα περιουσιακά στοιχεία, διατηρεί την ακεραιότητα των δεδομένων, επιτυγχάνει τους οργανωτικούς στόχους αποτελεσματικά και καταναλώνει τους πόρους αποδοτικά». Σκοπός της είναι να παρέχει επανεξέταση, επανατροφοδότηση, διαβεβαιώσεις και προτάσεις και αυτό το πετυχαίνει μέσω διαδικασιών, ακολουθώντας τα παρακάτω βήματα: 1) Σχεδιασμός, 2) Μελέτη και Εκτίμηση Ελέγχων, 3) Δοκιμή και Εκτίμηση Ελέγχων, 4) Αναφορές – Εκθέσεις και 5) Συνεχής Ενημέρωση.Ο Συνεχής έλεγχος, κατά τον Vasarhelyi, είναι «μια σταδιακή μετάβαση σε πρακτικές ελέγχου προς την κατεύθυνση του μέγιστου δυνατού βαθμού αυτοματοποίησης ελέγχου ως έναν τρόπο για να επωφεληθούμε από την τεχνολογική βάση της σύγχρονης επιχείρησης, προκειμένου να μειωθεί το κόστος ελέγχου και να αυξηθεί ο έλεγχος αυτοματισμού […]». Η Ιδιωτικότητα από την άλλη πλευρά, καθώς μπορεί να πάρει πολλές σημασίες, ανάλογα με το πλαίσιο που αυτή αναφέρεται. Μπορεί να θεωρηθεί ως περιγραφική ή καθοδηγητική, ως ηθικό συμφέρον ή νόμιμο δικαίωμα. Αυτό μπορεί να σημαίνει ελευθερία από ανεπιθύμητη προσοχή τρίτων ή ελευθερία από παρατήρηση ή επιτήρηση. Μπορεί να καλύψει το απόρρητο της επικοινωνίας, καθώς και της πληροφορίας. Στην απλούστερη μορφή της, η ιδιωτικότητα έχει οριστεί ως «το δικαίωμα να μείνει κάποιος μόνος του».Η Ελεγκτική οριοθετείται από ορισμένα πλαίσια. Τα πιο σημαντικά είναι: 1)το COBIT, το οποίο παρέχει εργαλεία υποστήριξης και συνδέει τον εσωτερικό έλεγχο, τα τεχνικά ζητήματα και τους κινδύνους στα ΠΣ, 2)το COSO, που παρέχει συμβουλές και διαδικασίες σε θέματα επιχειρηματικής ηθικής, εσωτερικού ελέγχου, διαχείρισης κινδύνου, απάτης και χρηματοοικονομικής πληροφόρησης, 3)το ITIL, de facto πρότυπο για θεμελιώδεις διαδικασίες διαχείρισης υπηρεσιών, 4)το AS5 πλαίσιο εσωτερικού ελέγχου σε οικονομικές αναφορές και καταστάσεις των ΠΣ, και 5)το ISO 19011:2002, που διαχειρίζεται προγράμματα ελέγχου του συστήματος διαχείρισης της ποιότητας.Ο Συνεχής Έλεγχος, διαθέτει τρεις τύπους συστημάτων: το EAM που εισάγεται μέσα στην εφαρμογή του πελάτη, το EAM ghosting που διατηρεί ένα αντίγραφο της εφαρμογής του πελάτη σε διαφορετικό υλισμικό, και το MCL που χρησιμοποιεί ένα στρώμα Middleware και «αγκιστρώνεται» στην εφαρμογή του πελάτη. Υπάρχουν πολλοί περιορισμοί και στις τρεις αυτές τεχνολογίες, κυρίως σε τεχνικά, πρακτικά ζητήματα και ζητήματα των εξωτερικών ελεγκτών. Πέραν όμως της ανάλυσης της τεχνολογίας του ΣΕ, μέσα από μια μελέτη υιοθέτησης αυτής της τεχνολογίας σε ένα δείγμα εταιριών (Vasarhelyi, Alles, Kuenkaikaew:2012), προκύπτει ότι ο Συνεχής Έλεγχος στις περισσότερες επιχειρήσεις βρίσκεται στα στάδια μεταξύ αρχικής ανάπτυξης και φάσης ωριμότητας, όπου συμπεραίνουμε ότι υπάρχει τάση να αναπτυχθεί η τεχνολογία αυτή και να υιοθετηθεί η κουλτούρα του Συνεχούς Ελέγχου.Στην Ιδιωτικότητα, υπάρχουν δύο βασικές λύσεις όπου επιλέγουν να χρησιμοποιήσουν τα μοντέλα διατήρησης της Ιδιωτικότητας: η MAC-based λύση και η HLA-based λύση. Το πρώτο μοντέλο, «Privacy Preserving Auditing Scheme», κάνει χρήση του HLA με τυχαία συγκάλυψη (random masking) και με αυτόν τον τρόπο ο ελεγκτής δεν μαθαίνει το περιεχόμενο των δεδομένων που είναι αποθηκευμένα στον διακομιστή cloud. Το δεύτερο μοντέλο, «NC Audit», συνδυάζει το SpaceMac, ένα ομομορφικό σύστημα MAC για την κωδικοποίηση δικτύου, και το NCrypt, ένα καινούριο ασφαλές σύστημα κρυπτογράφησης CPA (chosen plaintext attack) που είναι συμβατό με το SpaceMac για να πετύχει την διατήρηση της Ιδιωτικότητας. Στο τρίτο μοντέλο, «Oruta», γίνεται για πρώτη φορά η διαφύλαξη της Ιδιωτικότητας σε διαμοιρασμένα αρχεία στο cloud για στατικές ομάδες πελατών, ενώ στο μοντέλο «Knox», που αποτελεί βελτίωση του Oruta, διασφαλίζεται η Ιδιωτικότητα και σε δυναμικές ομάδες που διαμοιράζονται τα αρχεία τους. Το τελευταίο μοντέλο, το «Interdomain Audit Framework», διαθέτει επιπλέον χαρακτηριστικά, όπως η ανιχνευσιμότητα επιθέσεων, και εφαρμόζεται σε πιο σύγχρονα ΠΣ εταιριών που αποτελούν και τμήματα εφοδιαστικών αλυσίδων.Τέλος, τίθενται κάποιες προκλήσεις στον Συνεχή Έλεγχο και στις τεχνολογίες του, όπως κατά πόσο το ΕΑΜ είναι ανεξάρτητο ή αν αποσκοπεί στο δημόσιο συμφέρον, ποιες είναι οι ευθύνες των ελεγκτών όταν αποτυγχάνουν να ανιχνεύσουν ανακρίβειες ή απάτες, αν οι εναλλακτικές λύσεις του ΕΑΜ είναι οικονομικότερες και αποδοτικότερες από το ίδιο και επίσης πως επηρεάζονται οι επιχειρήσεις στην λήψη αποφάσεων από την συνεχή παρακολούθηση των δραστηριοτήτων τους.Ομοίως, στην Ιδιωτικότητα, η μελλοντική έρευνα θα πρέπει να εστιάζει σε μεγαλύτερης κλίμακας εταιρίες με πολύπλοκα ΠΣ και να ενσωματώνει επίσης μηχανισμούς ανιχνευσιμότητας απειλών και επιθέσεων. Δύο λύσεις στο πρόβλημα της Ιδιωτικότητας αποτελούν τα μοντέλα SRA και P-SRA, τα οποία ελέγχουν τους cloud παρόχους που φιλοξενούν τα ΠΣ των εταιριών και με αυτόν τον τρόπο μπορεί να διασφαλιστεί η Ιδιωτικότητα.
id oai:hellanicus.lib.aegean.gr:11610-12526
institution Hellanicus
language Greek
publishDate 2015
record_format dspace
spelling oai:hellanicus.lib.aegean.gr:11610-125262024-12-05T08:44:54Z Information systems auditing : privacy preserving and continuous auditing issues ; Ελεγκτική πληροφοριακών συστημάτων : ζητήματα διατήρησης ιδιωτικότητας και συνεχούς ελέγχου Βαβούρη, Ειρήνη - Εμμανουήλ Λαμπρίδης, Νικόλαος - Ελευθέριος Κοκολάκης, Σπύρος Ελεγκτική Ελεγκτική πληροφοριακών συστημάτων Συνεχής έλεγχος Διατήρηση ιδιωτικότητας Auditing Is auditing Continuous auditing Privacy-preserving Audit Cloud audit Electronic data processing--Auditing Privacy, Right of Η Ελεγκτική ΠΣ, κατά τον Ron Weber, είναι «η διαδικασία συλλογής και αξιολόγησης των αποδεικτικών στοιχείων για να προσδιοριστεί αν ένα πληροφοριακό σύστημα διασφαλίζει τα περιουσιακά στοιχεία, διατηρεί την ακεραιότητα των δεδομένων, επιτυγχάνει τους οργανωτικούς στόχους αποτελεσματικά και καταναλώνει τους πόρους αποδοτικά». Σκοπός της είναι να παρέχει επανεξέταση, επανατροφοδότηση, διαβεβαιώσεις και προτάσεις και αυτό το πετυχαίνει μέσω διαδικασιών, ακολουθώντας τα παρακάτω βήματα: 1) Σχεδιασμός, 2) Μελέτη και Εκτίμηση Ελέγχων, 3) Δοκιμή και Εκτίμηση Ελέγχων, 4) Αναφορές – Εκθέσεις και 5) Συνεχής Ενημέρωση.Ο Συνεχής έλεγχος, κατά τον Vasarhelyi, είναι «μια σταδιακή μετάβαση σε πρακτικές ελέγχου προς την κατεύθυνση του μέγιστου δυνατού βαθμού αυτοματοποίησης ελέγχου ως έναν τρόπο για να επωφεληθούμε από την τεχνολογική βάση της σύγχρονης επιχείρησης, προκειμένου να μειωθεί το κόστος ελέγχου και να αυξηθεί ο έλεγχος αυτοματισμού […]». Η Ιδιωτικότητα από την άλλη πλευρά, καθώς μπορεί να πάρει πολλές σημασίες, ανάλογα με το πλαίσιο που αυτή αναφέρεται. Μπορεί να θεωρηθεί ως περιγραφική ή καθοδηγητική, ως ηθικό συμφέρον ή νόμιμο δικαίωμα. Αυτό μπορεί να σημαίνει ελευθερία από ανεπιθύμητη προσοχή τρίτων ή ελευθερία από παρατήρηση ή επιτήρηση. Μπορεί να καλύψει το απόρρητο της επικοινωνίας, καθώς και της πληροφορίας. Στην απλούστερη μορφή της, η ιδιωτικότητα έχει οριστεί ως «το δικαίωμα να μείνει κάποιος μόνος του».Η Ελεγκτική οριοθετείται από ορισμένα πλαίσια. Τα πιο σημαντικά είναι: 1)το COBIT, το οποίο παρέχει εργαλεία υποστήριξης και συνδέει τον εσωτερικό έλεγχο, τα τεχνικά ζητήματα και τους κινδύνους στα ΠΣ, 2)το COSO, που παρέχει συμβουλές και διαδικασίες σε θέματα επιχειρηματικής ηθικής, εσωτερικού ελέγχου, διαχείρισης κινδύνου, απάτης και χρηματοοικονομικής πληροφόρησης, 3)το ITIL, de facto πρότυπο για θεμελιώδεις διαδικασίες διαχείρισης υπηρεσιών, 4)το AS5 πλαίσιο εσωτερικού ελέγχου σε οικονομικές αναφορές και καταστάσεις των ΠΣ, και 5)το ISO 19011:2002, που διαχειρίζεται προγράμματα ελέγχου του συστήματος διαχείρισης της ποιότητας.Ο Συνεχής Έλεγχος, διαθέτει τρεις τύπους συστημάτων: το EAM που εισάγεται μέσα στην εφαρμογή του πελάτη, το EAM ghosting που διατηρεί ένα αντίγραφο της εφαρμογής του πελάτη σε διαφορετικό υλισμικό, και το MCL που χρησιμοποιεί ένα στρώμα Middleware και «αγκιστρώνεται» στην εφαρμογή του πελάτη. Υπάρχουν πολλοί περιορισμοί και στις τρεις αυτές τεχνολογίες, κυρίως σε τεχνικά, πρακτικά ζητήματα και ζητήματα των εξωτερικών ελεγκτών. Πέραν όμως της ανάλυσης της τεχνολογίας του ΣΕ, μέσα από μια μελέτη υιοθέτησης αυτής της τεχνολογίας σε ένα δείγμα εταιριών (Vasarhelyi, Alles, Kuenkaikaew:2012), προκύπτει ότι ο Συνεχής Έλεγχος στις περισσότερες επιχειρήσεις βρίσκεται στα στάδια μεταξύ αρχικής ανάπτυξης και φάσης ωριμότητας, όπου συμπεραίνουμε ότι υπάρχει τάση να αναπτυχθεί η τεχνολογία αυτή και να υιοθετηθεί η κουλτούρα του Συνεχούς Ελέγχου.Στην Ιδιωτικότητα, υπάρχουν δύο βασικές λύσεις όπου επιλέγουν να χρησιμοποιήσουν τα μοντέλα διατήρησης της Ιδιωτικότητας: η MAC-based λύση και η HLA-based λύση. Το πρώτο μοντέλο, «Privacy Preserving Auditing Scheme», κάνει χρήση του HLA με τυχαία συγκάλυψη (random masking) και με αυτόν τον τρόπο ο ελεγκτής δεν μαθαίνει το περιεχόμενο των δεδομένων που είναι αποθηκευμένα στον διακομιστή cloud. Το δεύτερο μοντέλο, «NC Audit», συνδυάζει το SpaceMac, ένα ομομορφικό σύστημα MAC για την κωδικοποίηση δικτύου, και το NCrypt, ένα καινούριο ασφαλές σύστημα κρυπτογράφησης CPA (chosen plaintext attack) που είναι συμβατό με το SpaceMac για να πετύχει την διατήρηση της Ιδιωτικότητας. Στο τρίτο μοντέλο, «Oruta», γίνεται για πρώτη φορά η διαφύλαξη της Ιδιωτικότητας σε διαμοιρασμένα αρχεία στο cloud για στατικές ομάδες πελατών, ενώ στο μοντέλο «Knox», που αποτελεί βελτίωση του Oruta, διασφαλίζεται η Ιδιωτικότητα και σε δυναμικές ομάδες που διαμοιράζονται τα αρχεία τους. Το τελευταίο μοντέλο, το «Interdomain Audit Framework», διαθέτει επιπλέον χαρακτηριστικά, όπως η ανιχνευσιμότητα επιθέσεων, και εφαρμόζεται σε πιο σύγχρονα ΠΣ εταιριών που αποτελούν και τμήματα εφοδιαστικών αλυσίδων.Τέλος, τίθενται κάποιες προκλήσεις στον Συνεχή Έλεγχο και στις τεχνολογίες του, όπως κατά πόσο το ΕΑΜ είναι ανεξάρτητο ή αν αποσκοπεί στο δημόσιο συμφέρον, ποιες είναι οι ευθύνες των ελεγκτών όταν αποτυγχάνουν να ανιχνεύσουν ανακρίβειες ή απάτες, αν οι εναλλακτικές λύσεις του ΕΑΜ είναι οικονομικότερες και αποδοτικότερες από το ίδιο και επίσης πως επηρεάζονται οι επιχειρήσεις στην λήψη αποφάσεων από την συνεχή παρακολούθηση των δραστηριοτήτων τους.Ομοίως, στην Ιδιωτικότητα, η μελλοντική έρευνα θα πρέπει να εστιάζει σε μεγαλύτερης κλίμακας εταιρίες με πολύπλοκα ΠΣ και να ενσωματώνει επίσης μηχανισμούς ανιχνευσιμότητας απειλών και επιθέσεων. Δύο λύσεις στο πρόβλημα της Ιδιωτικότητας αποτελούν τα μοντέλα SRA και P-SRA, τα οποία ελέγχουν τους cloud παρόχους που φιλοξενούν τα ΠΣ των εταιριών και με αυτόν τον τρόπο μπορεί να διασφαλιστεί η Ιδιωτικότητα. 2015-11-18T10:39:49Z 2015-11-18T10:39:49Z 2013 http://catalog.lib.aegean.gr/webopac/FullBB.csp?WebAction=ShowFullBB&EncodedRequest=*3D*CF4*8C*E0*1A*B2*CF*14*B7*13*EF*F5*F3*AC*7C&Profile=Default&OpacLanguage=gre&NumberToRetrieve=50&StartValue=1&WebPageNr=1&SearchTerm1=2013.1.46577&SearchT1=&Index1=Keywordsbib&SearchMethod=Find_1&ItemNr=1 http://hdl.handle.net/11610/12526 el Σάμος
spellingShingle Ελεγκτική
Ελεγκτική πληροφοριακών συστημάτων
Συνεχής έλεγχος
Διατήρηση ιδιωτικότητας
Auditing
Is auditing
Continuous auditing
Privacy-preserving
Audit
Cloud audit
Electronic data processing--Auditing
Privacy, Right of
Βαβούρη, Ειρήνη - Εμμανουήλ
Λαμπρίδης, Νικόλαος - Ελευθέριος
Information systems auditing : privacy preserving and continuous auditing issues ;
title Information systems auditing : privacy preserving and continuous auditing issues ;
title_full Information systems auditing : privacy preserving and continuous auditing issues ;
title_fullStr Information systems auditing : privacy preserving and continuous auditing issues ;
title_full_unstemmed Information systems auditing : privacy preserving and continuous auditing issues ;
title_short Information systems auditing : privacy preserving and continuous auditing issues ;
title_sort information systems auditing privacy preserving and continuous auditing issues
topic Ελεγκτική
Ελεγκτική πληροφοριακών συστημάτων
Συνεχής έλεγχος
Διατήρηση ιδιωτικότητας
Auditing
Is auditing
Continuous auditing
Privacy-preserving
Audit
Cloud audit
Electronic data processing--Auditing
Privacy, Right of
url http://catalog.lib.aegean.gr/webopac/FullBB.csp?WebAction=ShowFullBB&EncodedRequest=*3D*CF4*8C*E0*1A*B2*CF*14*B7*13*EF*F5*F3*AC*7C&Profile=Default&OpacLanguage=gre&NumberToRetrieve=50&StartValue=1&WebPageNr=1&SearchTerm1=2013.1.46577&SearchT1=&Index1=Keywordsbib&SearchMethod=Find_1&ItemNr=1
http://hdl.handle.net/11610/12526
work_keys_str_mv AT babourēeirēnēemmanouēl informationsystemsauditingprivacypreservingandcontinuousauditingissues
AT lampridēsnikolaoseleutherios informationsystemsauditingprivacypreservingandcontinuousauditingissues
AT babourēeirēnēemmanouēl elenktikēplērophoriakōnsystēmatōnzētēmatadiatērēsēsidiōtikotētaskaisynechouselenchou
AT lampridēsnikolaoseleutherios elenktikēplērophoriakōnsystēmatōnzētēmatadiatērēsēsidiōtikotētaskaisynechouselenchou