Accountants Need to Know About Thre

Accountants Need to Know About Threats to Computer SecuritySecurity over information in computers has become a major concern to the business and not-for-profit communities. The security risks are changing dramatically as technology moves rapidly through the various phases of use from mainframes to PCs to networks and to more powerful network servers that are beginning to take on the function and personality of mainframe computers. The accelerating pace toward greater and faster telecommunications further magnifies security risk.Accountants should be familiar with security risks in order to protect their own applications and computer use and, of course, to properly advise clients and others in their organizations about the various security risks to which they are exposed.Author Davis surveyed a sample of CPAs about security threats that concern them and presents in an accompanying table the top five threats in four computing environments--microcomputers, minicomputers, mainframes, and networks.Based upon the survey, the author projects the practice and business opportunities that accountants have to advise and protect their public (clients and employers) from security risks.While providing numerous improvements in business practices, computer technology has also created the potential for disastrous problems. Hollywood has highlighted computer security problems in movies such as Sneakers, Hackers, and The Net. Computer systems, which the average person assumes safe, are now victims of security breaches. Reports reveal that hackers attacked the U.S. Defense Department computer systems nearly 250,000 times in a recent year, with 65% of these attacks resulting in unauthorized access to the systems. These security breaches cost the department millions of dollars and pose a serious threat to national security. Our future, in terms of national and business security, depends on the security of computer systems.
A major product of computer systems is information. For a business, much of this is financial information. Because financial information is typically produced by the accounting information system (AIS), the primary guardian is usually an accountant.

The accounting profession recognizes the need for increased security over AISs. All the technological advancements included in the AICPA Information Technology Division's 1996 hot topics list (see Table 1) represent fundamental changes to business practices with significant system security implications. The division specifically ranked security as the third most important technology issue, up from thirteenth in 1995. The elevated importance of security probably stems from recognition that inadequate security over a system precludes any assurance that an AIS will produce reliable information to meet internal and external reporting requirements. Inadequate AIS security also increases the opportunity for manipulation, falsification, or alteration of accounting records.

The AICPA Technology Division has rightly identified AIS security as a primary technological concern. Knowing what areas of system security need addressing is another story. The following paragraphs report the results of a survey of CPAs designed to assess current concerns about AIS security--management's commitment to system security, the use of alternative systems architectures, and assessments of risks and security threats across those systems architectures. With this information at hand, accountants can better identify and control security threats present in their existing environments.

The Survey Sample

A Threats to Accounting Systems Security Survey was sent to 3,054 members of the AICPA and the Information Systems Audit and Control Association. Usable surveys were returned by 355 persons (11.6%). Since the purpose of this assessment was to determine CPAs' perceptions of AIS security, the findings include only the 208 responses received from CPAs. CPA respondents to the survey consisted of 64.9% in public accounting, and 35.1% in industry and government. The respondents averaged 7.1 years in their current positions and 13.9 years total accounting and auditing experience. Other professional certifications held by the CPA respondents included Certified Information Systems Auditor (26%) and Certified Internal Auditor (5.8%).

Assessment of AIS Security Policies

Management's attitude toward internal control is an important component of the control environment. The presence and enforcement of information system security policies indicate management commitment to information security. To assess top management commitment to AIS security the respondents were asked to indicate their perception of management efforts to implement and enforce AIS security policies. Additionally, the respondents were asked to evaluate the adequacy of the security policies.

Table 2 reports that 84.5% of the respondents generally felt that top management was committed to implementing information system security policies, while 83.6% thought that top management had at least a moderate commitment to enforcing these security policies. About 81% of the respondents deemed the policies to provide at least adequate security. Although these results reflect favorably on the control environment, it is interesting to note that the level of adequate security is felt to be lower than managements' level of commitment to implementing and enforcing information system security policies.

Current System
Technology

The proliferation of microcomputers and networks in the last ten years has drastically changed available computing architecture choices. AIS began as mainframe applications. Mini- and microcomputer-based alternatives are now plentiful, and client/server systems are being developed with greater frequency. Because different architectures have different levels and areas of security threats, respondents were asked to assess the current level of use of several architectures. As shown in Table 3, most of the
CPA respondents reported moderate to heavy use of microcomputers, either in a stand-alone or networked environment. Given the relatively low reported usage of mainframe computers, this is likely a result of migrating mainframe legacy systems to microcomputer architectures.

These findings clearly indicate that computers networked both internally and externally are an important feature of today's AISs. Such technologies as electronic commerce, workflow technology, collaborative computing, client/server computing, and telecommuting included on the AICPA Technology Division's top 15 list often make heavy use of networked microcomputers. These technological advancements create new security problems--such as lack of paper audit trails and an increase in the number of authorized users of a system--that require revision of existing security policies to maintain adequate protection against security risks and threats. It is reasonable to expect that accountants and auditors will view policies associated with newer technology as less adequate than those covering more tried and true environments.

As expected, the survey found that CPA respondents think that security policies in newer technologies are less adequate than policies for established technologies. As shown in Table 4, microcomputers in general, and specifically microcomputers connected to outside networks, are viewed as presenting the highest level of risk. Not surprisingly, the mainframe environment is deemed the least risky. However, even with the new technologies and risks that have emerged, only 13% of the respondents indicated that AIS security is worse today than it was five years ago.

Top Threats to AIS Security

From a list of 17 potential threats to AIS security, the survey asked the respondents to rank order the top three threats applicable to each of four computing environments--microcomputers, minicomputers, mainframes, and networks. Determining the most prevalent security threats in each computing environment will assist in identifying areas requiring additional control emphasis. Table 5 reports the top five security threats in each of the four computing environments, as determined by the number of times respondents ranked a threat as one of the top three threats. Employees' accidental entry of bad data is the only common threat for the four computing environments.

Respondents viewed the introduction of computer viruses as a major threat to microcomputers and networks. Ernst & Young's "Annual Information Security Survey: Trends, Concerns and Practices," reported that over two-thirds of respondents had encountered a virus in the past year. IBM estimated in 1994 that as many as 2,500 viruses were in circulation, with two or three new viruses being written every day. As companies increase the use of networks, e-mail, and intelligent agents, the threat of virus infections also increases. Adequate preventive and detection control measures, such as virus detection programs and diskette origination policies, must be implemented to reduce the threat of viruses.

Unauthorized access by either employees or outsiders was viewed as a threat to AIS security in all environments except microcomputers. Again, respondents appear to be in tune with the current state of affairs, as the Computer Security Institute's (CSI) 1996 Computer Crime and Security Survey reported that 42% of their respondents had experienced some form of system intrusion or unauthorized system use in the past 12 months. A frightening finding from CSI's survey is that over 50% of the respondents do not have a policy on how to deal with network intrusions. With the current increases in use of distributed information processing such as client/server computing, the Internet, and EDI, this threat will only increase as more points of entry to the system
are created.

Survey respondents recognized unique security issues associated with the microcomputer environments. Stand-alone microcomputer systems are

Kế toán cần biết về mối đe dọa đến tính
bảo mật an ninh thông tin trên trong máy tính đã trở thành một mối quan tâm lớn đối với các doanh nghiệp và không vì lợi nhuận cộng đồng. Những rủi ro an ninh đang thay đổi đáng kể như công nghệ di chuyển nhanh chóng qua các giai đoạn khác nhau của việc sử dụng từ máy tính lớn để máy tính với các mạng và máy chủ mạng để mạnh mẽ hơn đang bắt đầu đi vào các chức năng và tính cách của các máy tính lớn. Các tốc độ gia tăng đối với viễn thông lớn hơn và nhanh hơn nữa phóng đại nguy cơ bảo mật. Kế toán nên quen thuộc với các rủi ro an ninh để bảo vệ các ứng dụng riêng của họ và sử dụng máy tính và, tất nhiên, để tư vấn cho khách hàng đúng cách và những người khác trong tổ chức của họ về những nguy cơ bảo mật khác nhau để . mà họ tiếp xúc Author Davis khảo sát một mẫu của CPA về các mối đe dọa an ninh mà họ quan tâm và trình bày trong một bảng kèm theo các năm mối đe dọa hàng đầu trong môi trường điện toán bốn -. vi tính, máy tính mini, máy tính lớn, và các mạng Dựa trên các cuộc khảo sát, các tác giả các dự án cơ hội thực hành và kinh doanh mà các kế toán phải tư vấn và bảo vệ công chúng (khách hàng và người sử dụng lao) của họ trước các rủi ro an ninh. Trong khi cung cấp nhiều cải tiến trong hoạt động kinh doanh, công nghệ máy tính cũng đã tạo ra tiềm năng cho vấn đề tai hại. Hollywood đã nêu bật những vấn đề bảo mật máy tính trong các bộ phim như Sneakers, hacker, và The Net. Hệ thống máy tính, mà những người bình giả định an toàn, bây giờ là nạn nhân của hành vi vi phạm an ninh. Báo cáo tiết lộ rằng tin tặc đã tấn công các hệ thống máy tính của Bộ Quốc phòng Mỹ gần 250.000 lần trong một năm gần đây, với 65% các cuộc tấn công dẫn đến truy cập trái phép vào hệ thống. Những lỗ hổng bảo mật có giá hàng triệu đô la và bộ phận đặt ra một mối đe dọa nghiêm trọng đến an ninh quốc gia. Tương lai của chúng tôi, về an ninh quốc gia và doanh nghiệp, phụ thuộc vào sự an toàn của hệ thống máy tính. Một sản phẩm chủ yếu của hệ thống máy tính là thông tin. Đối với một doanh nghiệp, nhiều của này là thông tin tài chính. Bởi vì thông tin tài chính thường được sản xuất bởi các hệ thống thông tin kế toán (AIS), người bảo vệ chính thường là một kế toán. Các nghiệp vụ kế toán công nhận sự cần thiết phải tăng cường an ninh trên AISS. Tất cả những tiến bộ công nghệ trong năm 1996 danh sách đề tài nóng của Phòng Công nghệ Thông tin của AICPA (xem Bảng 1) đại diện cho những thay đổi cơ bản để thực hành kinh doanh với vấn đề bảo mật hệ thống quan trọng. Việc phân chia cụ thể xếp an ninh như các vấn đề công nghệ quan trọng thứ ba, tăng từ mười ba năm 1995. Tầm quan trọng của an ninh cao có lẽ xuất phát từ nhận biết an ninh đầy đủ trên một hệ thống ngăn cản bất kỳ sự bảo đảm rằng một AIS sẽ sản xuất thông tin đáng tin cậy để đáp ứng báo cáo nội bộ và bên ngoài yêu cầu. AIS an ninh không đủ cũng làm tăng cơ hội cho các thao tác, giả mạo, hoặc thay đổi các hồ sơ kế toán. Bộ phận Công nghệ AICPA đã xác định một cách đúng đắn AIS an ninh là một mối quan tâm công nghệ chính. Hiểu biết những gì khu vực cần bảo mật hệ thống giải quyết là một câu chuyện khác. Các đoạn sau đây báo cáo kết quả của một cuộc khảo sát của CPA được thiết kế để đánh giá mối quan tâm hiện nay về AIS an ninh - quản lý cam kết đối với an ninh hệ thống, việc sử dụng hệ thống thay thế kiến trúc, và đánh giá các rủi ro và các mối đe dọa an ninh trên các hệ thống kiến trúc. Với thông tin này trong tay, kế toán có thể xác định tốt hơn và kiểm soát các mối đe dọa bảo mật hiện diện trong môi trường hiện tại của họ. Điều tra mẫu Một mối đe dọa đến khảo sát Security Systems kế toán đã được gửi đến 3.054 thành viên của AICPA và Kiểm toán và Kiểm soát Hiệp hội Hệ thống thông tin. Các cuộc điều tra có thể sử dụng được trả về bởi 355 người (11,6%). Bởi vì mục đích của việc đánh giá này là để xác định nhận thức CPA 'của AIS an ninh, những phát hiện này chỉ gồm 208 câu trả lời nhận được từ CPA. CPA người trả lời cuộc khảo sát bao gồm 64,9% trong kế toán công cộng, và 35,1% trong ngành công nghiệp và chính phủ. Những người trả lời trung bình 7,1 năm ở vị trí hiện tại của họ và 13,9 năm tổng kế toán và kinh nghiệm kiểm toán. Chứng chỉ chuyên nghiệp khác được tổ chức bởi những người trả lời CPA bao gồm thông tin Certified Systems Auditor (26%) và Chứng chỉ Kiểm toán nội bộ (5,8%). Đánh giá của AIS An ninh Chính sách quản lý thái độ của phía kiểm soát nội bộ là một thành phần quan trọng của môi trường kiểm soát. Sự hiện diện và thực thi các chính sách bảo mật hệ thống thông tin cho thấy cam kết quản lý an ninh thông tin. Để đánh giá cam kết quản lý hàng đầu để AIS an ninh trả lời được yêu cầu cho biết cảm nhận của họ về những nỗ lực quản lý để thực hiện và thực thi các chính sách bảo mật AIS. Ngoài ra, những người tham gia được yêu cầu đánh giá sự phù hợp của các chính sách bảo mật. Bảng 2 báo cáo rằng 84,5% số người được hỏi nói chung cảm thấy rằng việc quản lý hàng đầu đã cam kết thực hiện các chính sách bảo mật hệ thống thông tin, trong khi 83,6% cho rằng quản lý hàng đầu đã có ít nhất một người ôn hòa cam kết thực thi các chính sách bảo mật. Khoảng 81% số người được hỏi coi là chính sách để cung cấp ít nhất bảo mật đầy đủ. Mặc dù các kết quả này thể hiện sự trân môi trường kiểm soát, nó là thú vị để lưu ý rằng mức độ bảo mật đầy đủ được cảm nhận là thấp hơn so với mức Managements 'cam kết thực hiện và thực thi các chính sách bảo mật hệ thống thông tin. Hệ thống hiện tại Công nghệ Sự phát triển của máy vi tính và mạng trong mười năm qua đã thay đổi mạnh lựa chọn kiến trúc tính toán sẵn. AIS đã bắt đầu như các ứng dụng máy tính lớn. Thiểu và lựa chọn thay thế máy vi tính dựa trên hiện nay rất phong phú, và các hệ thống client / server đang được phát triển với tần suất lớn hơn. Bởi vì kiến trúc khác nhau có mức độ và các khu vực của các mối đe dọa bảo mật khác nhau, trả lời được yêu cầu đánh giá mức độ hiện tại của việc sử dụng của một số kiến trúc. Như thể hiện trong Bảng 3, hầu hết các báo cáo trả lời CPA trung bình đến nặng sử dụng của máy vi tính, hoặc trong một môi trường độc lập hoặc nối mạng. Với việc sử dụng báo cáo tương đối thấp của các máy tính lớn, điều này có thể là kết quả của việc di chuyển hệ thống di sản kiến trúc máy tính lớn để máy vi tính. Những phát hiện này cho thấy rõ ràng rằng các máy tính nối mạng nội bộ và bên ngoài là một tính năng quan trọng của AISS ngày nay. Công nghệ như thương mại điện tử, công nghệ quy trình làm việc, máy tính hợp tác, máy tính client / server, và telecommuting đưa vào top 15 danh sách các nghệ Division của AICPA thường sử dụng nhiều của máy vi tính nối mạng. Những tiến bộ công nghệ tạo ra các vấn đề an ninh mới - chẳng hạn như thiếu dấu vết kiểm tra giấy và sự gia tăng số lượng người dùng được ủy quyền của một hệ thống - đó có yêu cầu sửa đổi các chính sách bảo mật hiện tại để duy trì khả năng bảo vệ chống lại các rủi ro an ninh và các mối đe dọa. Có lý do để hy vọng rằng kế toán và kiểm toán viên sẽ xem các chính sách liên quan đến công nghệ mới hơn như ít thích hợp hơn so với những người bao gồm các môi trường đã cố gắng nhiều hơn và đúng sự thật. Theo dự kiến, các khảo sát cho thấy rằng người trả lời CPA nghĩ rằng các chính sách bảo mật trong công nghệ mới hơn là ít thích hợp hơn so với chính sách công nghệ được thành lập. Như thể hiện trong Bảng 4, máy vi tính nói chung, và đặc biệt là máy vi tính kết nối với mạng bên ngoài, được xem như trình bày các cấp độ cao nhất của rủi ro. Không ngạc nhiên, môi trường máy tính lớn được coi là nguy hiểm nhất. Tuy nhiên, ngay cả với những công nghệ mới và những rủi ro mà đã nổi lên, chỉ có 13% người trả lời cho rằng AIS an ninh là tồi tệ hơn ngày hôm nay hơn nó đã được năm năm trước đây. Lên mối đe dọa đến an ninh AIS Từ một danh sách các mối đe dọa tiềm tàng đến 17 AIS an ninh, khảo sát hỏi người trả lời để xếp hạng thứ tự ba mối đe dọa hàng đầu đối với từng môi trường bốn máy tính - máy vi tính, máy tính mini, máy tính lớn, và mạng lưới. Xác định các mối đe dọa bảo mật phổ biến nhất trong mỗi môi trường máy tính sẽ hỗ trợ trong việc xác định các khu vực khi cần phải nhấn mạnh điều khiển. Bảng báo cáo 5 năm mối đe dọa an ninh hàng đầu trong các môi trường điện toán bốn, như được xác định bởi số lần trả lời xếp một mối đe dọa như một trong ba mối đe dọa hàng đầu. Entry vô tình của người lao động của dữ liệu xấu là mối đe dọa duy nhất chung cho bốn môi trường tính toán. Người trả lời xem sự ra đời của virus máy tính như là một mối đe dọa chính đối với máy vi tính và các mạng. Ernst & Young của "Khảo sát An toàn thông tin hàng năm: Xu hướng, mối quan tâm và thực hành," báo cáo rằng hơn hai phần ba số người được hỏi đã gặp phải một loại virus trong năm qua. IBM ước tính vào năm 1994 rằng có đến 2.500 virus này lưu hành, với hai hoặc ba loại virus mới được viết mỗi ngày. Khi các công ty gia tăng sử dụng mạng, e-mail, và các đại lý thông minh, các mối đe dọa bị nhiễm virus cũng tăng. Các biện pháp kiểm soát ngăn ngừa và phát hiện đầy đủ, chẳng hạn như các chương trình phát hiện virus và các chính sách đĩa khởi, phải được thực hiện để giảm sự đe dọa của virus. Truy cập trái phép bằng cách hoặc là nhân viên hoặc người ngoài được xem như là một mối đe dọa cho an ninh AIS trong tất cả các môi trường ngoại trừ máy vi tính. Một lần nữa, câu trả lời xuất hiện được trong điều chỉnh với tình trạng hiện nay của công việc, như Viện An ninh của máy tính (CSI) 1996 tội phạm máy tính và Khảo sát an ninh cho thấy 42% số người được hỏi họ đã trải qua một số hình thức xâm nhập hệ thống hoặc sử dụng hệ thống trái phép trong quá khứ 12 tháng. Một phát hiện đáng sợ từ điều tra CSI là hơn 50% số người được hỏi không có một chính sách như thế nào để đối phó với sự xâm nhập mạng. Với sự gia tăng hiện nay trong việc sử dụng các thông tin phân phối chế biến như máy tính client / server, Internet, và EDI, mối đe dọa này sẽ chỉ tăng khi càng có nhiều điểm nhập cảnh vào các hệ thống được tạo ra. người trả lời khảo sát được công nhận vấn đề bảo mật độc đáo kết hợp với các môi trường máy tính siêu nhỏ . Stand-alone hệ thống máy vi tính là