Uygulamasından sonraki bir Yeniden Yapılandırma sürecinde kontroller oluşturulmamıştır, çünkü Yeniden Yapılandırma temelde yeni ve yenilikçi süreç tasarımlarına odaklanmıştır ve şirketlerin üretkenliğinde, verimliliğinde ve kârında belirgin, çarpıcı ve dikkate değer bir artış talep etmektedir., süreçlerdeki kontrollerin tasarımına güvenmeden. Bu nedenle, Temel ve Temel Kontrollerin Uygulanması için bir analize tabi tutulmalıdır .ve Veri İşleme alanına daha fazla vurgu yaparak. Bunu yapmamanız, bunları zamanında tespit edip oskültasyona uğramadan ve başarısızlıklardan veya hatalardan kaçınmadan kesinlikle yeni süreçlerde başarısızlıklara veya sapmalara neden olacaktır. Bu yönergeler bir kez geliştirildikten sonra, tüm şirket tarafından ve esas olarak sistemler alanında çalışan personel tarafından uygulanmalıdır.
Bu çalışmanın amacı, nasıl yeniden yapılandıracağınızı veya metodolojinizi nasıl açıklayacağınızı öğretmektir. Bu çalışmanın amacı, bir yeniden yapılandırmadan sonra bir "ötesi" olduğunu ve bu çalışmanın odaklandığı kontroller ve güvenceler olduğunu göstermektir. Amacım, yakında tehlikede olan "çoğunlukla" olan alanların uyarı noktalarını ve işletme yöneticisine, kontrolleri ve veri güvenliğini uygulayarak bunları önlemenin yollarını açıklamanın daha az teknik bir yolunu göstermektir .
İş yöneticisine, bilgisayar sistemlerinde uzman olmasa da, temel noktaların ne olması gerektiğini “bilmesi” gerektiğini ve şirketinin sistem uzmanından ayrıntılı bilgi edinmesi gerektiğini de bildirmek önemlidir.
Son olarak, işletme yöneticisi bir kolej, üniversite, endüstri, bankacılık veya ticari şirkete liderlik ederse, bu çalışma her tür şirket için geçerli olduğundan size çok yardımcı olacaktır. Odak noktası esas olarak işleme ve ilgili alanlara verilir, ancak kavramları diğer alanlara bile genişletilebilir.
BÖLÜM 1: GENEL
- Yeniden yapılandırma hedefi
Yeniden yapılandırmanın ne olduğu ve ne olmadığı hakkında çok şey söylendi. Yeniden yapılanma olduğu söylenenler arasında, bunun köklü bir değişim arayan, artan iyileştirmeler, ne otomasyon ne de sadece organizasyon, ne de sadece boyut küçültme, ne de sadece kalite.
Proses Yenileme, daha geleneksel iyileştirme programlarının unsurlarını içeren “dengeli” bir yaklaşım olarak tanımlanır, ancak “daha” bir iyileştirme programı olmamasına rağmen, yeniden yapılandırmak çok daha fazladır. Performansı etkileyen önemli önlemler konusunda kararlı ilerleme sağlayın. Hem kalite, maliyet, hız, esneklik, müşteri memnuniyeti, hassasiyet açısından çok yönlü hedefler arayın; hepsi aynı anda ve özellikle de değil. Yeniden yapılanma “süreçleri” bir bakış açısı olarak ele alır ve onları yeniden tasarlamak için onlara odaklanır ve bu nedenle perspektifi ne işlevsel ne de örgütsel değildir.
Yukarıda anlatılanlar ve Reengineering hakkında zaten bilmeniz gerekenler için, süreci düzelterek serpantin ondan çıkarmaya çalışır. Bunun için, bir sürecin sınırları olduğunu ve her sınırda en az bir kontrole sahip olduğunu tanımlar, bu nedenle süreçte biri transfer yapan kişi için diğeri de onu alan kişi için en az iki kontrole sahip olacağını tanımlar. düşünülemez. Onların görüşüne göre kontrollerin oluşturulması, bu metodoloji noktasında değer katmayan faaliyetleri içerdikleri için sürecin akışını bozar.
Yeniden yapılanmanın tanımı, her ikisini de iş sonuçlarına göre ölçerek bir organizasyonda iş akışı ve üretkenlik optimizasyonunu üretmeyi umuyor: artan karlılık, pazar payı, yatırım getirisi, özkaynak ve varlıklar. Yeniden yapılandırma ayrıca toplam veya birim maliyet azaltılarak da ölçülebilir.
Proses Yenileme, iş sonuçları (bu programı seçen üst düzey yöneticiler için ilgi çekicidir) ve süreç sonuçları arasında net bir ilişki kurar: işlem süresinin hızı, hassasiyeti ve azaltılması (yeniden yapılandırma ekibinin optimize etmeye çalışın).
Son ve ortalamalar arasında, yani iş sonuçları ile sürecin sonuçları arasında bu kasıtlı, ölçülebilir bağlantı kurulmadan; yeniden yapılandırma programları başarısızlığa mahk wouldmdur.
Son olarak, Reengineering, daha geleneksel artan iyileştirme programlarının başarısız olduğu iş ortamındaki eğilimlerin evrimine yanıt vermektedir. Birçok durumda, sadece yeniden yapılandırma vaat eden, değişen iş ortamına ayak uyduracak kadar hızlı ve radikal bir değişim vaat ediyor.
- Kontroller Amaç
Kontrol, yönetimin dayandığı sütunlardan biridir. Kontrolün ne anlama geldiğine dair basit bir kavram, "yeni planları düzeltmek, iyileştirmek ve formüle etmek için tamamen ya da kısmen beklenenlere göre mevcut ve geçmiş sonuçları ölçmek" olacaktır. Kontrolün kendisi, planların uygulanmasını bilmek için sistematik olarak veri toplamaya çalışır.
Teknolojik ilerlemeler ve iletişim sistemlerinin başarısı ile, birçok durumda kontrolün kendisinden kaynaklanan bilgilerin bir “geri bildirimini” elde etmek ve bunu kullanarak düzeltici eylemin otomatik olarak başlatılması, düzeltici eylemi hayata geçirmek için sonuçların tamamen üretilmesini beklemek gerekli değildir: önceden kurulmuş bir prosedür, durdurmaya gerek kalmadan, bu sonuçlara dayanarak eylemi sürekli olarak düzeltir.
Kontroller otomatik, manuel veya her ikisinin bir kombinasyonu olabilir. Kontrollerin nasıl sunulduğu hakkında bir fikir edinmek için aşağıdaki örneğe sahibiz: 20 ° ile 22 ° C arasında muhafaza edilmesi gereken belirli bir yerde sıcaklık standardı olarak belirlenmiştir. Manuel bir kontrol sisteminde, belirtilen standartlara uymak için havalandırmayı ayarlamak için termometre 20 ° C'nin altına düştüğünde veya 22 ° C'nin üzerine çıktığında görselleştirmek gerekir.
Otomatik bir kontrol sisteminde, sıcaklık 20 ° C'nin altına veya 22 ° C'nin üzerine çıktığında ısıtmayı otomatik olarak değiştirir, böylece sıcaklığı sürekli olarak istenen seviyede tutar.
İdari alanda, aynı uygulamaları elde etmek mümkündür, örneğin: değiştirme noktaları gerektiren envanterlerde, buna ulaştıktan sonra, stok tüketilirken temel unsurların kaybolmaması için gerekli siparişler otomatik olarak üretilir. Manuel olarak gerçekleştirilen bu örnek, stok seviyelerinin ve ikmal noktalarının manuel olarak kontrol edilmesini de gerektirir.
“Kontrol” ün ne olduğunun bu kısa açıklamasından sonra, kontrollerin amacının şirkete süreçlerdeki sapmaların veya arızaların izlenmesi ve tespit edilmesi için bir unsur sağlamak olduğunu tanımlarız. Bunlar, aşağıdakiler gibi öğeleri güvenceye almak için oluşturulur:
-Şirketin gereksinimlerine göre bilgilerin güvenliği, güncelliği ve doğruluğu.
-Şirketin mikrobilgisayarları gibi işleme merkezinde kullanılan depolanmış veriler veya programlar üzerinde koruma ve kontrol önlemlerinin uygulanması.
-İşleme merkezi ve resmi verilerle çalışan diğer kuruluşlar için kontrol tedbirlerinin desteklenmesine yol açan fiziksel ve idari menkul kıymetlerin tasarımı.
- Şirketin resmi verilerine açık bir şekilde yetkili personel tarafından ve özel niteliklerle, tasarlanan süreçlerin uygulanmasına dayanan güvenilir bir nihai ürünü yansıtan yetkili bir süreç yürüterek erişilir.
- Yetkili personel, resmi veriler (resmi veriler) ve yetkili süreçler, kurumun kontrol mekanizmaları tarafından sürekli olarak incelenen, gözden geçirilen ve onaylanan ve tekrar tekrar altında çalışan kurumun tüm formalite sisteminin bir parçasıdır. uygulanan güvenlik ve kontrol şemaları.
-Bir şirkette çalışan süreçler, veriler ve programlar, bunlar şirketle ilgili olduğunda ve şirketle ilgili olduğunda her zaman formalizasyona (kullanıcılar, iç denetim, sistemler, iç kontrol, eğitim ve diğerleri tarafından) yönelme eğiliminde olmalıdır. İşleme, kalıcılığının yanı sıra sürekli olarak gerçekleşir. Bu, Kurumda oluşturulan tüm kurallara, politikalara, prosedürlere ve kontrollere uyumu sağlar.
-Veri güvenliği ve kontrolü ile ilgili kural ve prosedürlere uymak için gerekli yatırımları analiz etmek; yatırımın sağlayacağı faydaların ölçütleriyle değerlendirilmesi ve her zaman korunması gereken şirketin çıkarlarını göz önünde bulundurmak.
BÖLÜM 2: FİZİKSEL GÜVENLİK
- Fiziksel Güvenlik Hedefi
Amaç, donanım, yazılım, dokümantasyon ve manyetik ortam açısından sistemleri kayıp, kayıp veya fiziksel hasar risklerinden korumaktır. Benzer şekilde, yeterli fiziksel güvenlik kontrolü olmadan yetkisiz personelin erişiminde potansiyel riskler ortaya çıkabilir; yangınlarda; elektrik kesintilerinde; su kaçakları nedeniyle sellerde ve mantıksal erişim kontrollerinde.
- Fiziksel Güvenliği içeren hususlar
Fiziksel güvenlik en azından aşağıdaki hususları içerir:
- Erişim KontrolüYangın GüvenliğiEnerji Arzı HavalandırmaSu TespitiGüvenlik MuhafızlarıTelekomünikasyon
2.2.1 Erişim Kontrolü
Erişim kontrol sistemlerine yatırım yapmak, kurşun geçirmez gözlük, 24 saat silahlı korumalar veya video kameralar gibi zorlayıcı olmamasına rağmen; Şirketler, bireylerin ve hatta “yetkisiz” personelin işlem merkezine veya veri işleme alanlarına veya resmi ve özel bilgilere erişimini önlemek için yeterince makul kontroller düşünmelidir.
Bu Güvenlik sistemleri, her alanda bulunan elektronik bir bileşen veya şifrelenmiş bir plastik kart kullanılarak girilecek güvenlik anahtarlarının kullanımını düşünmelidir. Anahtarların atanması, sistem alanının temsilcisi tarafından verilmeli ve ana anahtar dosyasında herhangi bir sızma veya kullanıcılar arasında verilmesini önlemek için periyodik olarak değiştirilmelidir.
Bu amaçla, bir anahtar kullanılarak bir bireyi sorumlu kılan her alan ile kullanıcılara verilen anahtarları atayan ve kontrol eden kontrol alanı arasında bir ilişki olması gerektiği unutulmamalıdır. Belirli bir personelin belirli veya kalıcı bir süre için işten çıkarılması, istifa veya yokluğu hakkında bilgi sahibi olmamak, sabotaj, hırsızlık, saldırı vb.
Erişim, asgari ihtiyaca göre ve Sistem Başkanının gözetimindeki davalara bağlı olarak da verilmelidir.
Personel, önceden yetkilendirdikleri erişim gerektirmeyen diğer işlevlere yeniden atandığında; kişi görevine yeniden atandığında izin iptal edilmelidir. Aynı şekilde personel tatillerinde de aynı kavram uygulanmalıdır.
Ekipmanın veya manyetik araçların seferberliği sadece yetkili personel tarafından gerçekleştirilmeli ve ekipmanın seferberliklerinin kontrol prosedürünü izlemelidir. Güvenlik görevlisi, ekipmanın veya hem giriş hem de çıkış için manyetik araçların seferber edilmesinin davanın yetkileriyle yapılmasını sağlamalıdır.
Ziyaretçi kategorisine karşılık gelen ve işlem merkezinde veya ilgili alanda hareket etmesi gereken personel, kalitesini "ziyaretçi" olarak belirten bir kart kullanmalı ve her zaman kurum personeli tarafından refakat edilmeli veya denetlenmeli ve giriş ve çıkışları bölgenin bir blogunda kaydedildi.
İşleme merkezi ve ilgili tesislerin temizliği ve temizliği, kurum personeli huzurunda yapılmalıdır. Söz konusu temizlik personeli, şirket dışındaki personelin kaydında isimlerini ve erişim yetkisi olan saatleri doğrulamak zorunda olan güvenlik görevlisinin önünde kimlik bilgilerini girmelidir.
Temizlik ve temizlik işlerini oluşturan ya da hizmet eden kişiler dışında bavul, çanta ya da cisim bulunan personel girişi yasaklanmalıdır.
Söz konusu kartların kullanımını iptal etmek için, kısıtlı alanlara erişim kartlarının yanı sıra ziyaretçi kartları da kayıp durumunda derhal güvenlik personeline ve Sistem Yöneticisine bildirilmelidir.
Acil durumlarda, güvenlik personelinin işlem merkezi ve ofisleri için anahtarları olmalıdır. Bunlar kapalı bir zarfta, güvenlik altında tutulmalı ve Denetim tarafından periyodik olarak gözden geçirilmelidir.
Personelin yanı sıra ekipman ve manyetik araçların giriş ve çıkış programları Denetim personeli tarafından periyodik olarak gözden geçirilmeli ve ekipmanın hareketlerinin belirlenen kontrollere göre yapıldığından ve personelin giriş ve çıkışının Belirlenen zamanda ve saatler sonra varış ve ayrılma izinleri ile gerçekleştirilmiştir.
Şirketlerin sabit varlıklarının zararlarını veya zararlarını koruyan bir politika almayı planlamaları önemlidir.
- Yangın Güvenliği
İşlem merkezinde ve ilgili sistemlerde, önemli miktarda duman emisyonu sırasında otomatik olarak etkinleştirilmesi gereken duman dedektörleri bulunmalıdır. Bu cihazlar işlevlerini doğrulamak için düzenli olarak test edilmelidir. Otomatik su uzatmalı yangın dedektörleri söz konusu olduğunda, bunlar su ile temas yoluyla geri kazanılamayan ekipman ve malzemeden uzak alanlarda bulunmalıdır.
İşleme merkezinde, acil durumlarda çalışabilmeleri için periyodik olarak test edilmesi gereken yeterli portatif yangın söndürücüler bulunmalıdır.
Basınçlandırmanızın görsel kontrolü, ilgili yangın merkezine yüklenecek veya boşaltılacak yangın söndürücüyü göndererek yapılmalıdır.
Benzer şekilde, alan, sigara içmenin veya yanıcı madde kullanımının yasak olduğu alanları belirtecek şekilde işaretlenmelidir.
Kullanılacak söndürücüler, meydana gelen yangın sınıfına göre değişiklik gösterir. Bunun için A, B, C ve D tipi yangınlarımız vardır, A tipi yangınlar odun, tekstil, çöp vb. Gibi sıradan katı yakıtlarda üretilir. Bu tür bir yangın, malzemeyi çatlatır, köz oluşturur, kül bırakır ve dışarıdan içeriye yayılır. Tercihen su bazlı söndürme maddeleri ile savaşılır.
B tipi yangınlar yanıcı sıvılarda meydana gelir: benzin, yağlar, boyalar, gres vb. Yangının sadece yüzeyde meydana gelmesi ile karakterize edilir. Onlarla mücadele etmek için, tercihen temas halindeki oksijeni ortadan kaldırmalıyız ve bu amacı yerine getiren söndürme maddeleri gerektirir.
C tipi yangınlar, bağlı elektrikli ekipmanlarda meydana gelir, ancak bu tip yangın katı veya sıvı malzemelerde meydana gelse de, elektrik akımı tehlikesi nedeniyle özel sınıflandırmayı hak etmiştir. Söndürme ajanları ELEKTRİKSİZ İLETKENLER kullanılır.
D tipi yangınlar hafif metallerde, kimyasallarda, ilaçlarda vb. Yanma üzerine bu malzemeler kendi oksijenlerini üretir; sıradan söndürme maddeleriyle saldırıya uğradığında, patlama da dahil olmak üzere şiddetli reaksiyonlar üretir. Tercihen kimyasal toz gibi özel söndürme maddeleri ile kombine edilirler.
Aşağıda, her birinde kullanılacak yangın türleri ve yangın söndürücü türlerinin açıklayıcı bir tablosu bulunmaktadır.
| YANGIN SINIFI | SÖNDÜRÜCÜ | |||||||
| SINIF | YAKIT MALZEMESİ TÜRÜ | SU | KÖPÜK | CO2 | BC TOZU | ABC TOZU | ÖZEL AJANLAR | |
| TO | Ahşap, paçavra, kağıt vb. Genel olarak katı | n | n | ve | ve | n | r | |
| B | Erime noktası düşük yanıcı sıvılar veya katılar. | r | n | n | n | n | ve | |
| C | Canlı veya bağlı elektrikli ekipman | r | r | n | n | n | ve | |
| D | Malzemeler, kimyasallar, vb. | r | r | r | ve | ve | n | |
| n Tip / yangın için uygun | ê kullanılabilir | r Bu tip / ateşte kullanılmamalıdır | ||||||
İşleme ve ilgili merkez, ekipman, mobilya ve yanıcı olmayan malzeme ile yapılandırılmalıdır. İşlem merkezinde perdelerin kullanılmaması tercih edilir. Kablolar gibi elektrikli cihazlar yüksek nitelikli personel tarafından kurulmalı ve hazırlanmalıdır.
Güç anahtarları, kazara manipülasyonu önlemek için korunması gereken acil durumlar için güç kaynağının tamamen kapatılmasına izin veren bölümler ve bir bölümle ayrılmalıdır.
Hiçbir koşulda işleme alanında sigara içmemelisiniz. Levhalar, kılavuzlar, formlar gibi kolayca yanabilen her türlü malzeme sıcak alanlardan ve yanıcı elemanlarla olası temastan uzağa yerleştirilmelidir.
- Enerji arzı
-Her şirket olması gerekir UPS (U ninterruptable P ower S herhangi süspansiyon korunmak veya elektrikli arz düşmeye / upply Kesintisiz Güç Kaynağı).
-UPS'ye ek olarak, acil durumlarda da kullanılacak bir Jeneratör olmalı ve çalışmasını sağlamak için periyodik olarak test edilmelidir.
| ENERJİ JENERATÖRÜ |
- Hem Jeneratör hem de UPS, yüklerinin% 70'ine kadar kullanılacak şekilde tasarlanmalıdır.
-UPS'un sadece belirli bir süre boyunca ışığın yokluğuna dayanmakla kalmayıp, aynı zamanda flaşlarda veya elektrik artışlarında da sürekli çalışmakta olduğuna dikkat edilmelidir. Bir UPS'in satın almadan önce işlem merkezinin ve ilgili tüm ekipmanı desteklemesi için sahip olması gereken spesifikasyonların doğru bir değerlendirmesini yapmak önemlidir. Bu değerlendirme Sistem Başkanı tarafından yapılmalıdır.
- Ekipman düzenli olarak bakımı yapılmalıdır.
-İşleme merkezinin ve ilgili enerjinin münhasır olması ve diğer alanlarla paylaşılmaması gerekir.
-Acil durumlarda, işleme merkezi personelinin ilgili süreçlere aşina olması önemlidir, böylece yalnızca UPS tarafından sağlanan enerji ile çalışırken, gerekli olmayan ekipmanı kapatır, süreyi uzatmak için alternatif güç kaynağı.
-Acil bir araç olarak, her zaman pille çalışan fenerleriniz olmalıdır.
- Klima
-İşleme merkezi,% 45-% 50 arasında bir nem ile 18-19 ° C arasındaki bir sıcaklıkta tutulmalıdır.
-İşleme merkezi için, merkezi klima sisteminden bağımsız olması gerekir, biri doğru çalışamadığında diğeri için yedek görevi gören iki “özel” klima ekipmanı. Bu ekipmanların özelliği normal klimaların ortak özelliği değildir. Bu ekipman esas olarak sıcaklığı, nemi otomatik olarak koşullandırır, hava akışını kontrol eder ve sessizdir, böylece işlem merkezini oluşturan bilgisayarlara ve diğer ekipmanlara zarar gelmesini önler.
-Ana klimanın çalışmasının mümkün olmadığı ve yedek ekipman bulunmadığı durumlarda; Acil durum süresince ana ekipmanı soğutmak için ayaklı vantilatörler kullanılabilir.
- Su algılama
Bir şirketin verimsizlikleri nedeniyle değil, bu tür ekipmanların varlığı hakkında bilgi eksikliği nedeniyle işleme merkezlerinde su dedektörleri kullanması çok nadirdir. Bu cihazlar, işleme merkezini, özellikle klima ekipmanlarının yakınındaki yerler gibi zayıf noktalarda su sızıntılarından uzak tutmak için çok önemlidir.
| SU VE NEM SENSÖRÜ | SESLİ SU DEDEKTÖRÜ |
-Bu cihazlar ses veya duyarlılık su dedektörleri olabilir. Her şirketin ihtiyaçlarına göre ayrı ayrı kullanılabilirler veya birleştirilebilirler, yani; Su ve nem sensörleri (klima ekipmanının bulunduğu yerler) bazı kilit sektörlerde kullanılabilir ve diğerlerinde sesli dedektörler (muslukların veya su borularının yakınında) kullanılabilir.
-Alarmlar, çalışmasını sağlamak için düzenli olarak korunmalı ve test edilmelidir.
-Otomatik sistemleri tamamlayıcı bir şekilde, sahte zeminlerde, yalanlarda veya duvarlarda sızıntı veya su yayılımlarını görsel olarak tespit etmek mümkündür.
Güvenlik görevlileri
-Güvenlik Muhafızları ofislerin ve esas olarak işlem merkezi ve benzerlerinin sürekli gözetimini sağlamalıdır. Hiçbir yetkisiz kişi ilgili izin olmadan işlem merkezine giremez.
-Ayrıca, ziyaret eden personelin katta ve ziyaret edilen kişiyle birlikte olduğunu da doğrulamalıdırlar. Aynı şekilde, ziyaretçilerin kalkışları da kaydedilmeli ve ziyaret kartları ile ziyaretçi imzası ve kalkış saati ile kontrol edilmelidir.
-Şirketin büyüklüğüne ve işledikleri bilginin hassasiyetine bağlı olarak, güvenlik kameraları genellikle bu amaçla belirlenen kontrol alanlarında bir grup güvenlik görevlisi tarafından izlenen katlar veya sektörler tarafından kurulur.
- Telekomünikasyon
İletişim, "İletişim" sanatı ve bilimi olarak tanımlanır. Bu basit konsept, elektronik, elektrik, optik, kablo, fiber veya elektromanyetik araçlarla belirli bir mesafeden "İletişim" den oluşan telekomünikasyonlara kadar uzanır. Telekomünikasyon, basitçe sinyallerin iletimi, alımı ve değişimi için kullanılan araçlardır.
-Telekomünikasyon alanında dikkat edilmesi gereken önlemler arasında iletişim kabloları ve elektrik kablolarının düzgün çalışmasını sağlamak için korumalı bir şekilde muhafaza edilmesi gerekmektedir.
-Modemler, düğümler, kontrolörler, sunucular vb. İletişim ekipmanı Ekipmanların üreticisi ve / veya tedarikçisi tarafından sağlanan teknik özelliklere göre bulundukları fiziksel yerde ve bir ortamda korunmalıdırlar.
- Şirket genelinde ve esas olarak işlem merkezinde elektrik kabloları, elektrik enerjisinin iletken olmayan bir malzemesi olan olukların veya plastik boruların içinde olmalıdır. Ağ kabloları durumunda (ses ve veri ileticisi, genellikle metalik borular kullanılır).
-Elektrik olsun ya da olmasın kablolar, devreye karşı koruma veya ihmal, su, kemirgenler vb.
-Şu anda çevre tasarımına adanmış şirketler, panellere entegre edilmiş hareketli duvarlar, kablo olukları sağlıyor. Bu tür panellerin işleme alanının dışında kullanılması gerektiğini vurgulamak önemlidir, çünkü onları kaplayan malzeme genellikle bezdir, bu nedenle yanması kolaydır.
İşletme Yöneticisinin elektrik veya yapılandırılmış kabloların (ağlar için) yürütülmesi veya kurulması ile birlikte şirketinizin Sistem Başkanına emanet edeceği doğru olsa da, bu tür kapsamda ele alınması gereken hususları bilmeniz daha az doğru değildir. tesisler:
-Elektrik tesisatı: İnşaat ve proje inşaatı, kanal döşeme (plastik), kablo döşeme. Şunların sağlanması ve kurulumu: çıkışlar, kartlar, dalgalanma bastırıcılar (voltaj dengeleyiciler-UPS), vb.
-Yapı Kablolama: İnşaat ve inşaat işleri, kanalların döşenmesi (metal veya plastik), olukların döşenmesi, ses ve veri kablolarının döşenmesi. Şunların sağlanması ve kurulumu: dolaplar, konektörler, yamalar, hub'lar, yönlendiriciler vb. bilgisayar ekipmanlarının ve ilgili yazılımının sağlanması ve kurulumu.
-Ağ bakım servisi: Tüm bilgisayar ekipmanlarını (sunucular, kişisel bilgisayarlar, yazıcılar, vb.) Ve ağın ve aktif bileşenlerinin döşenmesindeki sorunların kontrolünü ve düzeltilmesini içerebilir. Önceden var olan tesislerde, Ağ Sertifika Servisi sunulmaktadır.
BÖLÜM 3: SİSTEMLERLE İLGİLİ KONTROLLER
- Mantıksal Erişim Kontrolleri
Kontrol ihtiyacı
Mantıksal Erişim Kontrolleri, programlar, dosyalar, işlemler, komutlar, yardımcı programlar vb.
Veri işleme merkezinin kaynaklarına ve ilgili kaynaklara hem yerel hem de uzak mantıksal erişim üzerinde kontrol mekanizmalarını uygulamak için yönergeleri tanımlayacağız.
-Genel bir düzeyde, erişim izinleri kullanıcının bilgileri bilme ihtiyacına dayanmalıdır. Bu, izinlerin kullanıcının rolüne göre desteklenmesi ve gerekçelendirilmesi gerektiği anlamına gelir.
-Kaynakların genellikle korumasız olduğu ve yetkili kişiden başka birinin mantıksal erişim sağlamasının gerektiği acil durumlarda, her zaman yeterli denetim altında yapılmalıdır. Acil durumdan sonra, söz konusu kullanıcı ve parolanın aboneliği kaldırılmalı veya güvenlik için yeni bir parola ile değiştirilmelidir.
-Logical erişim kontrol sistemleri ihlalleri düşünmelidir. Başarısız denemeler veya güvenliğinizin ihlali dahil olmak üzere tüm erişimlerin geçmiş kaydının otomatik olarak tutulması gerekir.
-Giriş kodları uygun şekilde kapalı zarflarda ve güvenli bir yerde saklanmalıdır. Acil durumlarda, kasanın sorumlusu Sistem Başkanı'nın izni ile korunan anahtarı ikincisine teslim edebilir. Bu yedek şifrelere ve ilgili yetkilere erişimin bir kaydı tutulmalıdır.
-Kullanıcılar kendilerine atanan anahtarlardan sorumludur. Hiçbir koşulda şifreler açıklanmamalı veya diğer kullanıcılarla değiştirilmemelidir. Bu noktaya uymamanın herhangi bir sonucu münhasıran ilgili kullanıcının sorumluluğunda olacaktır.
-Şirket, menkul kıymetleri, kullanıcıları ve şifreleri yönetmekten sorumlu bir kuruluş kurmalıdır. Atanan işlevler, farklı kaynaklara atanan kullanıcı ve parolaların listesini denetlemek ve güncel tutmak ve kaynakların güvenliğinde sapmalardan kaçınmak için periyodik değişiklik politikaları oluşturmak olacaktır.
- Kullanıcı Kimliği
-Kullanıcılar hiçbir zaman kullanıcı kimliklerini, şifrelerini veya şifrelerini paylaşmamalıdır. Her yeni kullanıcı talep edilmeli ve sistem başkanına gerekçelendirilmeli ve onaylandıktan sonra ilgili atamaları ve kontrolleri için Menkul Kıymetler Yöneticisi aracılığıyla kanalize edilmelidir.
-Sistem Yöneticisi'nin hem başvuru sahibine hem de Güvenlik Yöneticisine, yeni kullanıcının sahip olacağı erişim türlerinin yanı sıra terminal düzeyi kısıtlamalarını bile kapsayabilecek erişim olmayanları bildirmesi önemlidir.
-Kullanıcı, güvenlik kontrolü için tek yol oluşturduğundan, kullanıcı karşılık gelen anahtarı veya şifresi (şifre) olmadan oluşturulamaz.
-Tuşlar, kullanıcı tarafından seçilecek en az 6 alfasayısal karakterden (sayılar ve harfler) oluşmalıdır. Diğer durumlarda ve erişebileceğiniz kaynaklara bağlı olarak, anahtarlar doğrudan Menkul Kıymetler Yöneticisi tarafından atanır ve kullanıcıya ağ kullanıcıları ve ağ anahtarları gibi bilgilendirilir.
-Kullanıcı Yöneticisinin kayıtlarındaki diğer kullanıcılar için aynı şifreye sahip olmaması önemlidir. Böyle bir durumda, şifre derhal değiştirilmeli ve ilgili kullanıcı yeni şifre hakkında bilgilendirilmelidir. Bu durumda aşağıdaki faktörleri de dikkate almalısınız:
* Aynı konumlarda aynı karakterlere sahip farklı kullanıcılar için şifre olmamalıdır, örneğin: 123SRRG ve 123LRRG.
* Parolada kullanılacak sayısal karakterlerin sayısı belirtilmelidir.
* Maksimum karakter sayısı belirtilmelidir.
-Şifreler en az 30 günde bir değiştirilmelidir. Çok hassas kullanıcı kodları söz konusu olduğunda, daha uzun bir değişiklik süresi değerlendirilmelidir.
-Başarısız girişimler yanlış parola ile toplamda en fazla üç olmalıdır. Üç başarısız denemeden sonra kullanıcının engellenmesi gerekir. Bu girişimlerin daha sonra kontrol edilebilmesi için sisteme kaydedilmesi gerekir.
-Tuşlar görüntülenmemelidir. Depolama alanınız şifreli (şifreli) biçimde olmalıdır.
-Her kaynağa her erişim belirli bir anahtar içermeli ve tekrarlanmamalıdır.
-Kullanıcı, gizlilik kaybı nedeniyle parolalarını değiştirmeyi düşünürse, Güvenlik Yöneticisinden hemen yeni bir parola atamasını istemelidir.
-Kurulmasını kolaylaştırmak için varsayılan olarak kullanıcı ve parola içeren programlar (varsayılan) vardır. Bu program yüklendikten sonra değiştirilmelidir.
-Anahtarlar güvenlik zarflarında yedeklenmeli ve özgünlüklerini ve para birimlerini doğrulamak için rastgele testler yapılmalıdır.
- İzinlerin Askıya Alınması
İzinler aşağıdaki nedenlerle askıya alınmalıdır:
-Çalışanlar nedeniyle çalışanların bulunamaması.
-Kullanıcı adınız ve şifreniz 30 günlük bir süre boyunca kullanılmadığında.
- Hafta sonları ve tatil günlerinde erişim için Menkul Kıymetler Yöneticisi ve Sistem Başkanı'nın değerlendirilmesi.
-Atanan kaynaklara erişilemeyen maksimum erişim girişimlerini aştığınızda veya aşmadığınızda.
Bu durumların herhangi birinde, nedenler analiz edilmeli ve araştırılmalıdır ve kullanıcıyı rehabilite etmek için, uygulanan askıya alma türüne bağlı olarak yetkilendirmeler tekrar talep edilmelidir. Sistemin kullanılmaması nedeniyle askıya alma durumunda, şifrenin tekrar girilmesini istemek gerekir.
- Veri erişimi
-Veri, disketler, kartuşlar veya bantlar gibi manyetik ortamlarda depolanacaktır. Bu verilere yalnızca yetkili personel tarafından erişilebilir.
-Baskı bilgiler güvenliğinize göre sınıflandırılmalıdır.
-Verilere erişimin başarısız olması durumunda, sistem bu bilgileri kullanıcının adı, tarihi, uygulaması, dosyaları vb. İle ayrıntılı olarak tutmalıdır. erişilmesi amaçlanan girişimlerin yanı sıra deneme sayısı.
- Aynı şekilde, sistem birkaç başarısız denemeden sonra başarılı denemeleri takip etmelidir. Bunlar, Güvenlik Yöneticisi tarafından periyodik olarak gözden geçirilmesi gereken güvenlik günlükleri (kronolojik etkinlik dosyaları) aracılığıyla yönetilebilir.
-İşletmeler, veri erişim güvenliğinin kontrolünü başarıyla sağlamalarını sağlayacak prosedürü tasarlamalıdır.
- Programlara ve Yardımcı Programlara Erişim
Programlara ve yardımcı programlara erişim, kullanıcının profiline göre bölümlere ayrılmalıdır. Genel sınıflandırma:
- Sistem kullanıcıları Sistem geliştiricileri ve Üretim personeli.
Sistem kullanıcıları gerçek işlemler yaratabilen veya üretim sisteminin özelliklerini kullanabilen kullanıcılardır. İşlemler sonucunda sistem tarafından oluşturulan dosyalara da erişebileceklerdir.
Programcılar sadece test veya geliştirme ortamına erişimi olmalıdır. Gerçek işlemlere veya üretimdeki sistem işlevlerine erişimleri olmamalıdır.
-Üretim personeli sadece her kullanıcı için tanımlanan bilgilere erişmelerini sağlamalıdır. Üretim alanı için tanımlanan görevleri yerine getirebilir, ancak her türlü programlama aracını kullanarak veya uygulama programları aracılığıyla verilere erişimi engelleyebilirsiniz.
-Program ve yardımcı program kütüphaneleri hem geliştirme hem de üretim için ayrılmalıdır.
-Geliştirilmekte olan programların sürüm düzeyinde ve geliştirdiği tarih, saat ve kullanıcı verileriyle de korunması önemlidir. En azından son ve sondan bir önceki güncellemeyi tutmak çok önemlidir, bu nedenle geri dönüş durumunda son iki sürümden herhangi birine gidebilirsiniz.
-Gerekirse, hem sistem kullanıcısı hem de üretim personeli için geliştirme ortamındaki kütüphanelere erişime izin vermek mümkündür.
-Bir sistem üretilmeden önce, o program veya yardımcı program tarafından sağlanan güvenlik düzeyi hakkında bir değerlendirme yapılmalıdır. Bir Sistem Denetçisinin ve İç Kontrolden sorumlu kişinin, sistemin teknik özellikleri karşılayıp karşılamadığını ve uygun güvenlik önlemlerini ve kontrolleri içerip içermediğini belirlemesi önemlidir.
-Üretim programlarından sonra yapılan değişiklikler Değişim Kontrolüne göre yapılmalıdır.
- Uygulama Kontrolleri
Uygulama Kontrolleri odaklanmış olanlardır kullanıcılar tarafından kontroller ve sistemler tarafından kontroller. Kullanıcıların kontrolleri girdi verileri, sabit veriler, reddedilen veya bekleyen öğeler, çıktı verileri üzerinden verilir. Sistemlerin kontrolleri giriş verilerine, bekleyen öğelere ve işlemeye odaklanır.
Kullanıcı kontrolleri , kullanıcının işlemlerin hazırlanması ve onaylanmasında sahip olması gereken sorumluluğu ifade eder (girdi verileri); ana dosya ve sistem tablolarındaki sabit verilerin değiştirilmesinde, bütünlüklerinden ve doğruluklarından sorumlu olmaları (sabit veriler); muhasebe tarihlerine göre derhal düzeltilmesi gereken (reddedilen ve askıya alınan kalemler) ve son olarak çıktı verilerinde sunulan ve tespit edilen hatalardan veya sapmalardan sorumlu olan reddedilen veya askıya alınan işlemlerin kontrolünde .
Sistemlerin kontrolleri, girilen verilerin tamamen dijitalleştirilmesini (giriş verileri) sağlayan ve garanti eden kontrollerdir; reddedilen ve beklemedeki öğelerin doğru bir şekilde tanımlandığını ve bir çözüm beklemede kaldığını (reddedilen ve bekleyen öğeler); ve son olarak, sistemin bilginin doğru veri dosyalarıyla işlenmesini sağlamak ve aynı zamanda farklı işlem aşamaları boyunca yeterli denetim kanıtının korunmasına izin veren işlemin takibini sağlamak için işleme için kontrol mekanizmalarına sahip olması (işleme hakkında).
Farklı arasında sistemleri tarafından kontrol biz bu sayabiliriz veri girişi kayıt boyutunun, anahtar doğrulama, vb işlemleri ile üreten kontrolleri ile verilmiş olup, burada, kontrol toplamları ile, kontrol dizisi ile, kontrol Giriş işleminin tüm yolu boyunca belirli bir işlevi olduğundan, bu kontroller seçilmemeli, hepsi uygulanmalıdır.
- İşlem Kontrolleri ile işleme alınmadan önce bunun onaylanması sağlanır, bu otomatik onaylardadır.Manuel onaylar için işlemin sonunda veya işlem zaten tamamlandığında verilmesi tercih edilir :Satın alma sistemine bir satın alma girişi yapıldığında ve bunun ödeme onayının sisteme girilmesinden önce bir belge imzalanarak yapılması durumunda; Ödemenin, orijinal işlemin tutarları, tedarikçisi ve diğer verileriyle doğru bir şekilde yapıldığından emin olmayacaksınız. Sahtekarlığı önlemek için, bu durumda işlem tamamlandıktan sonra onaylanması veya imzalanması önemlidir, yani sonunda, madde değişikliklerine, fiyatlara, miktarlara, bilgilerin korunmasına yönelik başka kontrol türleri de vardır. Total Controls ile girilen tüm işlemlerin toplanmasını sağlayan bir kayıt defteri oluşturulur.Sekansa Göre Kontroller, önceden numaralandırılmış formlar düzeyinde veya girilen belge tarafından otomatik olarak oluşturulan bir sekans aracılığıyla kaydın bir sekansını otomatik veya manuel olarak üreten kontrollerdir. belirlenen teknik parametrelere göre kaydedilir ve işlemde öngörülmeyen bilgilerin iletilmesi önlenir. Bazı durumlarda, bilgilerin şifrelenmiş biçimde aktarılması ihtiyacı da değerlendirilebilir, bu da bilgilerin deşifre edilmesini zorlaştıracaktır. İkincisi, bilgi son derece hassas olduğunda yaygın olarak kullanılır Uygulama Kontrolleri her durumda kullanıcıların yalnızca her biri için yetkilendirilmiş ve tanımlanmış olanlara erişmesini veya bunları etkilemesini sağlamalıdır.Sistem Programcısı Etkinlik Kontrolleri.
Sistem programcısının faaliyetleri, tasarlanan programın talep edilen gereksinimleri, güvenliği ve dokunulmazlığı karşıladığından emin olmalıdır. Sistem Yöneticisi, program üretilmeden önce, programcının programı doğru bir şekilde belgelediğini veya değiştirdiğini, doğrulama ve doğrulama rutinlerinin gerçekleştirildiğini ve sistem testlerinin tamamlandığını doğrulamaktan sorumlu olacaktır..
Tüm kayıtlar için veri giriş ve çıkış doğrulamalarının yapılması ve belirli bir kaydı işlemenin imkansız olması önemlidir, örneğin: Bankacılık uygulama programcıları (çek veya tasarruf hesapları) borçları veya kredileri programlayabilir çıplak gözle tespit edilmeden hesaplar. Söz konusu programın talep edilen şartları ve davanın güvencelerini karşıladığını onaylayan bir kontrol ve doğrulama mekanizmasının uygulanması hayati önem taşımaktadır.
3.1.7.1 Bilgisayar sistemlerine ve dolandırıcılığa yetkisiz erişimin gerçek durumları - Pentagon, Citibank, Londra Barings Bank, Michigan Bahar Arbor Üniversitesi ve Proinco-Ekvador
Durum 1: Pentagon Sistemine Erişim.
ABD'nin IRAK ile krizde yaşadığı siyasi ve stratejik çıkarımlar nedeniyle haberler derhal açıklandı. Savunma müsteşarı John Hamre, bilgisayar korsanının Pentagon'a erişiminin gizli sistemlerine yapıldığını inkar etmekte gecikmedi. Girdiler varsa, ancak bunların sınıflandırılmamış bilgi ağına gittiğine dikkat çekti. Ayrıca, durumun dramını ortadan kaldırmak amacıyla saldırıyı ifadelerine göre "bir oyun" olarak görselleştirmeye çalıştı.
Saldırıdan birkaç gün sonra, Pentagon'un bilgisayarlarına yasadışı yollardan girdiğinden şüphelenilen genç adam nihayet tutuklandı. Korsan, kurgusal ismi "nick" olan "analist" olan ve okulunun bilgisayarlarından ve ağından giriş yapan ve askeri teçhizatların sanal turunun kişisel izlerini bırakmamak için Edhud Tenebaum adlı 18 yaşındaki bir İsrail gibi görünüyor. Amerikan.
Pentagon'a ek olarak, genç adam İsrail'deki ve ABD'deki diğer birçok ajansları hacklemiş olacaktı. Bu iki ülke tarafından toplanan çelişkili bilgiler sonunda genç adamın kimliğini keşfetmeye yol açacaktı.
"Analiste" ek olarak, Pentagon sistemine girişlerinde işbirliği yaptığı iddia edilen bir grup genç de gözaltına alındı. Bu giriş keşfedildikten sonra, sorumlu olanlar hacker'ın izine toplam 47 FBI ajanı koydular.
Ancak bu davanın bir sonucu olarak, 1998'in ilk aylarında Discovery Channel'da aynı Savunma Bakanlığı'nın 1994 yılında bir hacker tarafından saldırıya uğradığını gösteren çok ayrıntılı bir belgesel ortaya çıktı. O zaman, sorun yeterince açıklanmadı.
Bu durumda, hackerların merkezi bilgisayarlarına eriştikleri, banka hesap bakiyelerini kendi lehlerine manipüle ettikleri finansal kuruluşlara bilgisayar sahtekarlığı hakkında genel halka sunulan daha pek çok şey var. karmaşık yöntem, ancak bu tür sahtekarlık konusunda uzmanlaşmış büyük bir grup insanla. Bu nedenle, şirketlerin teknolojik gelişmelerle birlikte, sistemlerini hazırlayıp hazırlamaları, riskleri azaltan ve birçok durumda bunları tamamen ortadan kaldırmalarını sağlayan ileri teknolojiye yatırım yapmaları önerilir.
Durum 2: Citibank'a Sahtekarlık
Bu durum, banka soygunları tarihinde sistemleri aracılığıyla belgelenen tek vakadır. Soygun, 1994 yılında Citibank Bank'tan 10 milyon dolarlık bir miktar için tarihteki en iyi soygunu tasarlayan ve tasarlayan Rus vatandaşı Vladimir Levin adlı bir hacker tarafından gerçekleştirildi.
Bu dava hem Amerika Birleşik Devletleri'nde hem de Avrupa'da yaygın olarak duyuruldu. Bu hacker'ı (hacker) kullanmanın yolu, Citibank sistemine erişmek ve dünyanın farklı yerlerindeki farklı Citibank ofislerindeki çeşitli müşteri hesaplarından milyonlarca doları, Kaliforniya, İsrail, Finlandiya'daki suç ortaklarının hesaplarına tahsis etmektir., Almanya, Hollanda ve İsviçre. Bütün bunları Rusya'daki Saint Petersburg'dan ve klavyesini terk etmeden yaptı. 1995 yılında Interpol tarafından tutuklandı.
Bu dava, sadece çalınan para miktarı veya kullanılan yöntem nedeniyle değil, aynı zamanda Finansal topluluk ve İnternet Güvenlik Endüstrisinde yarattığı heyecan nedeniyle olağanüstüdür.
Bu dava ile bilgisayar suçunun nasıl hüküm sürdüğü ve finans ve ticari sektörün neden bunları raporlamakta olumsuz olduğu konusunda sorular yenilendi.
Bu bağlamda, finans sektöründen ve davanın savcılarından ve müfettişlerinden gelen yorumlar o sırada ortaya çıkmıştır. Bankacılık sektörü, temsilcileri aracılığıyla, Citibank olayının bir tesadüf olduğunu ve yasalara göre, finans sektörünün bu durumlarda yaşanan kayıpları raporlaması gerektiğini ve bilgileri gizlediklerini öne sürdüğünü belirtmiştir. hata.Öte yandan, savcılar ve soruşturmacılar bu ifadelere karşı çıkarak davanın sadece bir tesadüf olmadığını ve finans ve ticari sektörle birlikte kazanılan deneyimlerde, sorunları gördüklerinde, onları inkar ettiklerini ve tüm kanıtları kapsadıklarını göstermektedir. sektördeki kamusal alanlara duyulan güveni kaybetmemek ve üstleri ile sorun yaşamamak için neler oldu.
Citibank davasından bu yana New York FBI, yaklaşık 500 şirkette özel sektöre girebildiklerini ve büyük bir yanıt almamış olmalarına rağmen, takip ettikleri yolun şirketleri korumak için doğru yol olduğunu biliyorlar.
Bilgisayarlar aracılığıyla işlenen suçlar nakit hırsızlığının ya da kredi kartlarının ötesine geçer. Ayrıca ticari sırların ve kurumsal stratejilerin çalınmasına da büyük ölçüde yayıldılar.
Son olarak, Citibank, Banka sözcüsü Amy Dates aracılığıyla; bu olaya rağmen, tek bir müşteriyi kaybetmedikleri ve etkinliği çok ciddiye aldıkları için mutlu olduklarını ve
bu eylemlerden sorumlu olanları belirlemek için adalet sistemi ile güçlü bir şekilde çalışacaklardır.
Durum 3: Londra Barings Bank'ta Dolandırıcılık
Şubat 1995'te Londra'nın en eski bankası olan Barings Bank, Bir Milyar dolardan fazla zararla ayrıldı. Skandal, Banka'nın Tüccarı (tüccar) olarak görev yapan ve büyük felaketten sorumlu olan Nicholas (Nick) William Leeson adlı 28 yaşındaki bir Banka çalışanından kaynaklandığı için uluslararası bankacılık dünyasını sarstı. Şu anda ve Almanya hapishanelerinde bulunduktan sonra, sürecin devam ettiği Singapur'a iade edildi. Leeson, Barings Bank çöküşüne karışan tek kişiydi, ancak araştırmacılar Banka Yöneticilerinin de suçlu olduğunu söylüyorlar.
Dava politikacılar, araştırmacılar ve uluslararası bankalardan insanlar tarafından analiz edildi ve herkes hatanın aynı bankada olduğunu kabul ederek Ders'in faaliyetlerini kontrol etmeden veya denetlemeden bir operasyon başlatmasına ve sonlandırmasına izin verdi. Her iki ön büro müdürüydü, yani operasyonlardan sorumluydu; yanı sıra arka ofis, yani verilen taahhütlerin günlük değerlendirmesi, yani edinilen risklerin seviyesi. Başka bir deyişle, aynı kişi çok fazla risk almamak için kararlar vermek ve bu kararları kontrol etmek zorunda kaldı.
Nihayetinde, İngiliz Bankası'nın düşüşü Leeson tarafından yapılan kötü müzakereler nedeniyle biriken kayıplardan kaynaklanıyordu. İki resmi araştırmacının çalışması, Barings Bank'ın çöküşünün gerçekten İdare'deki “Yetersizlik” ten ve büyük hataların yapıldığı üç önemli alanda uyanıklıktan kaynaklandığını ve bunların: Sistemler, Denetim ve İç Kontrol olduğunu ortaya koydu.
Her üç alanda da kontrolün önemi tamamen ihmal edildi. Ve “kontrolün önemi” Barings Bank'ın iç denetçilerine sahip olması nedeniyle belirtilmiştir, ancak söz konusu denetçilerin sunduğu raporlara önem verilmemiştir. Yetkililerinin, işin her bölümünü kapsayacak bilgi ve becerilere sahip olmadığı açıktı. Barings Bank'ın bilgileri vardı, ancak ihmal için kullanılmadı.
Ve tüm bunlar doğru görünüyor, çünkü Barings'in Londra yönetimi Leeson tarafından yürütülen operasyonlar hakkında bilgilendirildi, çünkü bankanın düşmesinden önceki iki ay boyunca büyük miktarlar aktardı (yaklaşık yirmi Japon bankasına 400 milyon sterlin). Belki de Nick Leeson, bu transferleri neden istediğinin gerçek nedenlerinden bahsetti, ancak yönetmenlerin büyük miktarlarda paranın varış yeri konusundaki merakının olmaması garip görünüyor.
Aslında Barings felaketinden kaçınılabilirdi. Banka'nın 1994 yılındaki İç Denetim Raporları (etkinlikten bir yıl önce), Bankanın faaliyetlerinde değişiklik yapılması gerektiğinden bahsetmiştir. Bu rapora davanın önemi verilmiş olsaydı, çöküş uyarılmış ve engellenmiş olurdu, çünkü denetçiler raporlarında Nick Leeson'un müzakerede her iki sorumluluğunun yanı sıra ihlal etme kabiliyetine sahip olduğu tehlikesini açıkça belirtti. banka sistemi. Müzakereler sonucunda kolay para almaya istekli olan Banka Yöneticileri bu tavsiyelere uymadı ve sonuçları dramatikti.
Durum 4: Michigan'daki (Christian) Spring Arbor Üniversitesi'nde dolandırıcılık.
Mayıs 1995'te başka bir sahtekarlık skandalı patlak verdi. Bu sefer Michigan'da bulunan Spring Arbor Üniversitesi'nin sırası geldi. Davalı: 57 yaşındaki John Bennett, Philadelphia'daki özgecil çevrelerde kusursuz bir üne sahip olan Evanjelik bir Hıristiyan.
Bennett'in çalışma şekli, Charles Ponzi'nin Boston'dan birkaç kişiyi tüm tasarruflarını kaybeden paralarından çıkarmasına izin veren klasik Ponzi Piramit sistemini uygulamaktı. Ponzi, insanları üç ay sonra% 50 gelir elde etmeleri karşılığında paralarını teslim etmeye ikna etti. Yatırım yapmaya teşvik edilenlerin fonlarıyla Ponzi, olgunlaşan hesapları çözdü, ancak ilk “faydalanıcıların” çoğu kazançlarını yeniden yatırdı. Beklendiği gibi, devasa piramit sonunda çöktü ve binlerce insan dolandırıldı.
Bunun sonucunda Bennett sistemi, Spring Arbor Üniversitesi'nde muhasebe profesörü ve aynı zamanda muhasebeci olan Albert Meyer tarafından keşfedilen bir piramitti. Meyer, Üniversite hesap özetlerinde, Menkul Kıymetler Mirası adlı vakfa ait bir banka hesabına yüksek para transferleri olduğunu gördü. Davayı araştıran Meyer, Herencia de Valores'in, Bennett ve Yöneticisi olduğu Yeni Dönem Vakfı (Pennsylvania merkezli) arasında Üniversite olarak görev yapan bir vakıf olduğu konusunda bilgilendirildi. Bennett ele geçirilen kurumlara anonim hayırseverlerden para dağıttığını söyledi. Dolayısıyla, kâr amacı gütmeyen bir kurum Spring Arbor Üniversitesi gibi bağışlarda belirli bir miktar topladıysa,“Yararlanıcılar” eşit miktarda katkıda bulunma sözü verdi.
Meyer bu bilgiyi bildiği zaman, bunun bir Ponzi piramidi olup olmadığı konusunda şüpheleri giderildi. Konuyu araştırmaya ve birkaç Spring Arbor yetkilisiyle sohbet etmeye devam ettikten sonra parasını teklif edilen gelirle aldı. Bu koşullar altında, Üniversite büyüdükleri parayı zamanında aldıklarında şüphelenemezlerdi, bunu her zaman zamanında geri ödenen teminatsız bir kredi olarak aldılar.
Meyer daha sonra araştırmalarını keskinleştirdi ve endişesini dile getirmek için üniversitenin en yüksek yönetimine gitti, ancak yanıt olarak "fonları büyütmenin zor olduğunu ve müdahalesine ihtiyaç duymadıklarını" elde etti. Buna rağmen Meyer, Vergi Tahsilat Hizmetinden vergi beyannamelerinin kopyalarını istedi. Burada Bennett, yatırımları tam olarak almasına rağmen, bunların hiçbir kaydı olmadığını gözlemledi.
Meyer'ın bir dizi soruşturma ve soruşturma sonrasında, Sahtekarlık tamamen keşfedildi. Bennett, mali sahtekârlıkla suçlandı ve vakfın hesaplarından kendi işletmelerinin hesaplarına 4.2 milyon dolardan fazla para aktardı. Tahmini zararlar 100 milyon dolardan fazladır.
Durum 5: Proinco Sociedad Financiera SA (Ekvador)
Haziran 1999'da, MasterCard gaz kartı yasadışı olarak kullanan bir konu tarafından Proinco Sociedad Financiera Sa karşı beş milyondan fazla sucres kaybı bulundu # 550141007500776. Bu çok fazla para ifade etmedi, ancak bu örnek bir örnek oldu bu Ekvador varlığının yanlışlıkla yanlışlıkla iptal edilmemiş bir kart kullanımı ile dolandırılması.
Bu dava, dünya çapında meydana gelen ve ülkemizin istisna olmadığı birçok plastik para dolandırıcılığının sonuncusu ya da sonuncusu değil. Plastik para dolandırıcılığı için sahte ATM'lerin takılmasından, kartların klonlanmasına, düşük hareket eden hesap numaralarının satın alınmasına kadar kolayca tespit edilmeden para çalmak için özel hareketler vardır. Bu gruplar, sahtekarlıkları yürüten aynı kurumlara yerleştirilen personel ile düzenli olarak çalışırlar.
Bu anormallikler genellikle sadece müşteri finansal kuruma talebini sunduğunda tespit edilir, ancak bu vakaların çoğu süreçlerde kontrol eksikliği nedeniyle çözülmez. Normalde sahtekarlığı yapan aynı kişi, iddiayı alan veya işleyen kimdir, bu da sahtekarlığı tespit etmeyi zorlaştırır.
3.2 Değişim Kontrolü
- Değişiklik Kontrolü Oluşturma Nedenleri
Üretim ortamının programlar, ekipman, yardımcı programlar gibi herhangi bir öğesinde yapılan değişikliklerin kontrolüne uygun mekanizmaların belirlenmesi çok önemlidir. Bununla birlikte, değişikliklerin yönetimine, bunların şirket veya işletme düzeyinde teknik olarak değerlendirilmesi ve değişikliklerin, sistem başkanının ilgili yetkilendirmesi ile tutarlı bir şekilde dahil edilmesi için bir formalite yapısı verilir.
Benzer şekilde, değişiklik kontrolü son kullanıcı üzerindeki etki analizi ile de tam olarak farkında olmalıdır. Bu riskler önceden değerlendirilmeli ve analiz edilmelidir.
Değişim kontrolü, bilgisayar sistemimizde veya cihazlarında neler olduğuna dair kronolojik bir kayıt tutmak için temel bir araçtır. Bu sadece teknik belgelerin güncellenmesini sağlayan bir bilgi aracı değil, aynı zamanda bu tür değişikliklerin uygulanmasından sonra ortaya çıkan hataların veya tutarsızlıkların çözümüne ilişkin kararların alınmasına izin verir.
Örnek olarak, borsa kontrolünü düşünmeyen bir şirketin faturalandırma alanında basit bir durum belirtilmiştir. Vergi yasalarının etkileri nedeniyle, bir şirket Kaynakta Tutma'yı faturalandırmadan kaldırmaya karar verir. Bu değişiklik, Yönetici Yöneticisi tarafından Sistem Yöneticisi'nden istenir. Değişiklik yapılır ve sonraki faturalandırmada kaynaktaki stopaj değeri artık kaydedilmez, ancak Ara Toplam artı Katma Değer Vergisi'nin fatura toplamıyla eşleşmediği belirlenir.
Yönetim Yöneticisi bireyi Sistem Yöneticisine iletir ve ikincisi sorunu ortaya çıkarmak için değişiklik yapan programcıyı arar. Programcı burada değil, tatilde. Bu davanın sonucu olarak ne düşünüyorsunuz? Pek çoğu, zaman kaybı, dokümantasyon eksikliği, bilgi eksikliği, faturalandırmanın gecikmesi, faturalandırmayla uyumsuzluk maliyetleri, nakit akışında etkilenme ve diğer birçok sorun nedeniyle çalışmayı başka bir programcıya devredememe. Şimdi, denetim ve gerekli onay olmadan üretime giren programcı tarafından yapılan Değişim bilgisine sahipseniz, sorunun çözümü gerçekten basitti. Sorun, programcı Toplam fatura alanı için yeni bir algoritma yapılandırdığında,yalnızca Ara Toplam alanını aldı ve stopaj alanını ve maalesef KDV alanını da kaldırdı. Bu problemler bir Değişim Kontrolü yapılarak çözülmüş olabilir.
- Değişim Kontrol Prosedürü
Programlarda veya yardımcı programlarda değişiklik olması durumunda, aşağıdaki prosedür takip edilecektir.
- Talebin yetkili kullanıcı tarafından alınması.
- Değişiklikten kaynaklanacak etkinin değerlendirilmesi.
- Değişiklikten kaynaklanan risklerin ve etkilerin kullanıcı tarafından onaylanması.
- Geliştirme ortamında değişimin yürütülmesi.
- İstenen değişikliğin kanıtlarının tanımlanması.
- Bir geliştirme ortamında kalkınma personeli tarafından değişim kanıtı.
- Yapılacak değişikliklerin sistem denetimi.
- İç Kontrol yapılacak değişiklik.
- İç denetim ve kontrolden sonra değişikliğin hata ayıklanması.
- Bir geliştirme ortamında kullanıcılar tarafından değişim kanıtı.
- Değişiklik denetim kayıt defterinde Kullanıcı onaylı.
- Değişiklik kontrol kaydında Sistem Başkanının resmi onayı.
-Üretim ortamına doğru aktarım için gerekli olan yazılı talimatların ve kriterlerin belirlenmesi ve yürütülmesi gerektiğinde geri çevrilmesi.
-Üretim ortamındaki değişikliğin uygulanması için gerekli yer, tarih, saat, fiziksel ve insan kaynaklarının belirlenmesi.
Donanımda (donanımda) değişiklik olması durumunda, aşağıdaki prosedür izlenecektir.
- Talebin yetkili kullanıcı tarafından alınması.
-Değişiklikten kaynaklanan etkinin değerlendirilmesi
- Değişiklikten kaynaklanan risklerin ve etkilerin kullanıcı onayı.
- İstenen değişikliğin kanıtlarının tanımlanması
Donanımın doğru bir şekilde değiştirilmesi için gerekli talimatların ve kriterlerin yazılı olarak belirlenmesi.
-Üretim ortamındaki değişikliğin uygulanması için gerekli yer, tarih, saat, fiziksel ve insan kaynaklarının belirlenmesi.
-Değişikliğin uygulanması.
- Değişiklik denetim kayıt defterinde Kullanıcı onaylı.
-Kullanıcı antremanı
- Ekipman envanterini güncelleyin
-Bilgisayar konfigürasyonu envanterinin ve planlarının güncellenmesi.
- Gerçekleştirilen konfigürasyon için gerekli desteği sağlamak için ekipman için bakım sözleşmelerinin ve garantilerinin onaylanması.
- Değişikliklerin Üretimi ve İşlemleri için Kontrol Modeli
Üretim ve Operasyon kontrollerinde uygulanacak kriterler
Kriterler, hizmetin en yüksek kalitede sunulmasını sağlayan sağlam, tutarlı, güvenilir ve güvenli standartların işletilmesinde verilmektedir.
Bu kriterler organizasyonel, çizelgeleme, üretim izleme, depolama ortamları, dokümantasyon ve problem yönetimi konularında uygulanacaktır.
- Üretim fonksiyonu prosedürleri ve
Üretim ve operasyon alanının organizasyonu durumunda aşağıdakiler dikkate alınacaktır:
- İşletme personeli programların, uygulamaların veya sistemlerin oluşturulmasında veya değiştirilmesinde herhangi bir rol oynamamalıdır.
- İşletim sistemini güncelleme sorumluluğunuz olmamalıdır.
- Belirli uygulamalara kullanıcı olarak erişiminiz olmamalıdır.
-Özel bir iş tanımına ve görevlerine sahip olmalı ve sorumluluklarını yerine getirebilmeleri için yeterince eğitimli olmalıdırlar.
-Görevlerinizin doğru şekilde yerine getirilmesini sağlamak için yeterli gözetim altında olmalısınız.
Üretimin planlanması ve izlenmesi durumunda aşağıdakiler dikkate alınacaktır:
-Sadece yetkili görevler üretim verileri ile işlenerek ihmal riskini ve öngörülebilir sipariş ve planlama ile en aza indirilecektir.
- Süreçlerin yük planlaması, yürütülmesi ve izlenmesi faaliyetlerinin mümkün olduğunca otomatik olması tercih edilir.
- Operatör müdahalesinin kaçınılmaz olduğu durumlarda, yürütülecek faaliyetler için kaydedilmesi ve daha sonra analiz edilmesi gereken kesin talimatlar verilmelidir.
- Ortaya çıkan sonuçlarda, söz konusu sonuçlara cevap vermek için beklenmedik durum prosedürleri olmalıdır.
-İşlem planlaması, farklı uygulamalar arasındaki önceliğini dikkate almalıdır.
- Üretim planlaması tarafından yetkilendirilmemiş görevlerin yürütülmesini önlemek veya tespit etmek için kontroller uygulanmalıdır.
-Kullanıcıların üretim planlamasına dahil edilmemiş veya dahil edilmemiş görevlere ihtiyaç duyduğu durumlarda, bir istisna prosedürü oluşturulmalı, uygun şekilde kontrol edilmeli ve ilgili yetkilendirmelerle yapılmalıdır.
-Üretim ortamı ve çalışma prosedürleri, programların ve ilgili dosyaların doğru sürümünün kullanılmasını sağlamalıdır.
Depolama ortamının korunması durumunda, aşağıdakiler dikkate alınacaktır:
-Operasyonlar, manyetik ortamda saklanan verilerin yeterli şekilde korunmasından, kontrol edilmesinden ve denetlenmesinden sorumludur.
-Kasetler, kartuşlar ve disketler gibi ortamların fiziksel güvenliğini kontrol etmek için, sistem alanında kullanılan tüm manyetik ortamın konumunun kaydı ile korunan bir alanda saklanmalıdır.
-Kurulumun manyetik ortamının tüm giriş ve çıkışlarını kaydetmelidir.
- Depolanan manyetik ortamlar içerikleri, tarihleri ve kronolojik sıralarıyla uygun şekilde etiketlenmelidir.
Dokümantasyon durumunda aşağıdakiler dikkate alınacaktır:
-Günlük bir planlama veya astar, operatörün normal faaliyetlerini adım adım.
-Her bir operasyonun başlangıcı ve bitişi ile günlük planlama veya süreçlerin astarı
- Süreçler için beklenmedik durum prosedürleri
- Donanım, yazılım ve telekomünikasyon arızaları için beklenmedik durum prosedürleri.
-Mıknatıslı ortamların kullanımındaki talimatlar ve odaya giren veya odadan çıkanların kayıtları.
Operasyon alanındaki sorunların kaydı
-Bilgisayar odasına erişim kayıtları.
-Sistem alanından sorumlu kişi operasyonlar için gerekli tüm belgelerin eksiksiz, doğru ve güncel olmasını sağlamalıdır.
Sorun yönetimi durumunda aşağıdakiler dikkate alınacaktır:
-Tüm operasyonel arızalar ve anormal olaylar zaman, problem tipi, semptomlar ve alınan ilk önlemler ile birlikte bir Sorun Raporuna kaydedilmelidir. Her rapor benzersiz bir şekilde tanımlanmalı ve soruşturulması ve çözümü için sorumluluk mümkün olduğunca çabuk verilmelidir.
-Sistem Yöneticisi tarafından periyodik olarak gözden geçirilmesi gereken sorunların kaydını tutun.
-Sağlayıcıların veya sistem personelinin desteğini gerektiren tüm çağrılar, bu tür çağrıların yanıt süreleri ve sonraki analizler için alınan önlemler hakkında bilgi ile kaydedilmelidir.
-Sorunların eğilim analizini içeren ve hepsinin çözülmesini sağlayan düzenli bir inceleme prosedürü olmalıdır.
-Rutin bakım ve ekipman değiştirme fırsatına ilişkin kararlar almak için sorun yönetim sisteminde kaydedilen kanıtlar dikkate alınmalıdır.
-Üretim ortamına dahil edilecek değişiklikler olarak tanımlanan tüm çözümler, değişiklik kontrol prosedürleri ile kaydedilmeli, izlenmeli ve yönetilmelidir. Ayrıca, sorunun veya hatanın ne olduğunu belirleyerek çözümün kaynağı kaydedilmelidir.
- Belirlenen sorunların etkisinden ve sorunun çözümünde kaydedilen ilerlemeden etkilenen tüm kullanıcıları bilgilendirin.
BÖLÜM 4: PROGRAMLARIN DESTEKLERİ VE KURTARILMASI
- Program Yedekleme ve Kurtarma Prosedürü
-Yedeklemeler, içeriğine bağlı olarak periyodikliğe göre yapılmalıdır. Çok hassas bilgilerin günlük, haftalık, iki haftada bir ve aylık yedeklerinin tutulması önemlidir. Yedeklemenin periyodikliğini analiz etmek için, beklenmedik durumlarda kaybedilen bilgi hacmi ve son yedeklemenin tarihi dikkate alınmalıdır. Örneğin, yedekleme günlük olarak yapılıyorsa ve Çarşamba günü bir beklenmedik durum ortaya çıkarsa, Salı günü günlük yedeklemenin varlığına bağlı olarak, tek bir güne eşdeğer desteklenmeyen bilgiler kaybolacaktır.
-İşletim sistemleri ve programları genel olarak orijinal sürümlerinde ve üretimde kullanılan programlarda tutulmalıdır.
-Değişikliklerde, orijinal versiyonlar, değişiklikten önceki versiyon ve değişikliğin ürün versiyonu her zaman desteklenmeli, büyükbabanın, babanın ve oğlun kuşak bir planına benzemelidir.
- Manyetik Ortam Depolama Prosedürü
-Yüksek hassaslığa sahip veri yedekleri ve programları daima harici, yanmaz kasalarda tutulmalıdır. Tercih edilen siteler, biri şirketin faaliyet gösterdiği ancak ondan uzak olduğu şehirde, diğeri ise şehir dışında seçilecektir. Anahtar dosyaların bir kopyası, kurtarma işlemlerinde kullanılmalarına izin vermek için şirket içinde gerekli güvenlikle tutulabilir.
-Ek olarak, söz konusu arkalıkların taşınması ile ilgili kontroller dikkate alınmalıdır. Bu kontroller kilitli torbaların kullanılması, güvenlik kasalarına veya kasalardan sırtlık hareketlerinin kayıtları ve uygun olduğunda güvenlik araçlarının kullanımı ile verilebilir.
-Manyetik ortamlar, elde edilmelerini ve gerekli dosyaların kolayca tanımlanmasını ve kurtarılmasını sağlayacak şekilde uygun şekilde etiketlenmelidir.
-Normal olarak gerekli olan ve çok hassas bilgiler olarak kabul edilecek yedeklemeler şunlardır:
* Şirketin kendisi tarafından hazırlanan programlar
* Lisans altında satın alınan ve kalıcı olarak güncellemelere ve / veya özelleştirmelere tabi programlar.
* Veri Dosyaları: Muhasebe, finansal, idari, satın alma ve üretim bilgileri ve şirketin hassas gördüğü diğer bilgiler.
-Yedekleme prosedürleri, restorasyonları ve doğrulamalarıyla etkinlikleri doğrulanacak şekilde sürekli olarak test edilmelidir.
-Ayrıca, depolanan manyetik ortamlar için yedekleme yerleri, erişim kolaylıkları ve erişim kontrol prosedürleri periyodik olarak değerlendirilmelidir.
-En az yılda bir kez, güvenlik kasalarında uzun süre saklanan bantlar, kartuşlar ve disketler kontrol edilmelidir. İşlemlerini doğrulamak için test edilmelidirler.
-Ek olarak, programların veya verilerin kurtarılmasında temel kontrollerin uygulanması için gerekli olan tüm gereklilikler belirlenmelidir. Bunlar, programı geliştiren analistin veya Veri kurtarma durumunda kullanıcının sorumluluğunda olacaktır. Veri Güvenliği Yöneticisinin bu gereksinimler hakkında bilgi vermesi önemlidir.
-Programların manyetik olarak depolanmasıyla birlikte, yedeklemelerin yürütülmesi için operasyon prosedürlerine karşılık gelen belgelerin depolanması, kurulum yedeklerini kullanarak küçük arızalardan kurtarma prosedürleri, Harici yedeklemeleri kullanarak büyük arızalardan kurtarma prosedürleri dikkate alınmalıdır., Küçük ve büyük arızalar için Kurtarma sonrası Yedekleme Prosedürleri (normale dönme).
- Yedekleme Kontrol, Kurtarma ve Depolama Biçimi Modelleri.
| YEDEK DEPOLAMA VE KONTROL FORMU ÖRNEĞİ | ||||
| Destek Alma (Yer ve tarih) | ||||
| Saat | ||||
| Yedek Kimliği | ||||
| Detay içerikli | ||||
| Destek almaktan sorumlu | ||||
| firma | ||||
| Yedekleme Ortamı ve Miktarı | ||||
| Sorumlu Bölge Başkanının imzası | ||||
| yedek almak | ||||
| YEDEK GÜVENLİK SORUMLULUĞUNUN ALINMASI | ||||
| Site1 Yedek Teslimatı (Tarih) | ||||
| Resepsiyon Başkanı | ||||
| Resepsiyon zamanı | ||||
| firma | ||||
| Site2 Yedek Teslimatı (Tarih) | ||||
| Resepsiyon Başkanı | ||||
| Resepsiyon zamanı | ||||
| firma | ||||
| Site3 Yedeklemenin teslimi (Tarih) | ||||
| Resepsiyon Başkanı | ||||
| Resepsiyon zamanı | ||||
| firma | ||||
| YEDEK GÜVENLİK SORUMLULUĞUNUN ALINMASI | ||||
| Site1 Yedek Teslimatı (Tarih) | ||||
| Resepsiyon Başkanı | ||||
| Resepsiyon zamanı | ||||
| firma | ||||
| Site2 Yedek Teslimatı (Tarih) | ||||
| Resepsiyondan Sorumlu | ||||
| Resepsiyon zamanı | ||||
| firma | ||||
| Site3 Yedeklemenin teslimi (Tarih) | ||||
| Resepsiyon Başkanı | ||||
| Resepsiyon zamanı | ||||
| firma | ||||
| Site1 = Yerinde | Site2 = Yerel harici site | Site3 = Harici site başka bir şehir | ||
| YEDEKLEME KURTARMA FORMU ÖRNEĞİ | |||
| Şunun için talep edildi:
Restorasyonu Güncelle |
Yer ve zaman: | ||
| Yedekleme Alınan | Yer: | Tarih: | Saat: |
| Yedek Kimliği | |||
| Detay içerikli | |||
| Yedekleme Ortamı | |||
| Arkalık yeri: | |||
| Site1, Site2, Site3 | |||
| İsteyen | firma: | ||
| İstenen A | firma: | ||
| Teslim eden Sorumlu (İsim) | firma: |
BÖLÜM 5
PERSONEL YÖNETİMİNDE UYGULANAN KONTROLLER.
Personel yönetimi, çeşitli disiplinlerin birleştiği bir alandır; Organizasyonel ve endüstriyel psikoloji, endüstri mühendisliği, iş hukuku, güvenlik mühendisliği, mesleki tıp, sistem mühendisliği vb. Konular çeşitlidir ve yukarıda belirtilen disiplinler çeşitlidir. Bu nedenle, Personel Yönetimi hem örgütün iç yönlerini hem de dış veya çevresel yönleri ifade eder.
Daha sonra Personel Yönetiminin aşağıdaki tabloda belirtildiği gibi bağımsız alt sistemlerden oluştuğunu tanımlayabiliriz:
| Personel Yönetim Alt Sistemleri. | Kapsanan Bölümler |
| İnsan kaynakları | · İnsan Kaynakları Planlaması.
· Personel alımı · Personel seçim |
| İK uygulaması | · Ücretlerin tanımı ve analizi
· İnsan performans değerlendirmesi |
| İK bakımı | · Tazminat
· Sosyal yardımlar · Hijyen ve güvenlik · Çalışma İlişkileri |
| İK geliştirme | · Eğitim ve personel gelişimi
· Organizasyonel Gelişim |
| İK kontrolü | · Veritabanı ve bilgi sistemleri.
· İnsan Kaynakları Denetimi |
Bu alt sistemler birbiriyle yakından ilişkilidir ve birbirine bağımlıdır, ancak buna rağmen bunları kurmanın benzersiz bir yolu yoktur, çünkü bu şirkete uygundur ve organizasyonel, insani ve teknolojik faktörler gibi çeşitli faktörlere bağlıdır.
Bu amaçla, işlevlerin yönlendirilmesini sağlayan ve istenen amaçlara uygun olarak yürütülmesini sağlayan politikalar veya kurallar oluşturulur.
Bu kurallardan bazıları, çalışanların kendilerine ait olmayan işlevleri yerine getirmelerini engellemeye veya belirli işlevlerin başarısını tehlikeye atmaya yönelik “İdari Denetimler” oluşturmak amacıyla oluşturulmuştur.
Personel İdaresine uygulanan kontroller tüm alt sistemlere ve esas olarak bu bölümde ele alınacak konulara odaklanmaktadır.
- İdari Kontrollerin Amacı
Bu bölüm, idari alanın hassas noktalarında kurulması gereken ve konunun odaklanacağı kontroller, örneğin personel, işe alım, tatiller gibi konuları ele almaktadır.
- Kontrat ve Kontratların Feshi
Dış hizmetlerin yanı sıra personel alımı ve işe alım süreci de mükemmel bir şekilde değerlendirilmelidir. Sözleşmeler, hükümlerine, şirketin yürüttüğü veri güvenliği politikalarına ve standartlarına entegre olmalıdır.
Dış hizmet personeli, daimi şirket personeli için uygulanan güvenlik kriterlerine göre değerlendirilmelidir.
Dahili veya harici bir çalışan hizmet vermeyi bıraktığında, bunun tesislere, sistemlere veya verilere hem mantıksal hem de fiziksel erişime sahip olduğu yetkileri askıya alınmalıdır. Çalışanın ait olduğu bölgenin genel müdürü, şirketin belirlediği politikalara uygun olarak, çalışanın sürekli yokluğunun raporlanmasından sorumludur.
Yönetim Bölümü, şirketin manyetik erişim kartlarını ve kimlik bilgilerini almanın yanı sıra, çalışanın sahip olduğu tüm erişim izinlerini iptal etmelidir. Çalışan tarafından işlenen tüm gizli belgelerin iadesi doğrulanmalıdır.
- İdari Politikalar Tatil
Özellikle şirketin sistem alanından tatil yapmak zorunda olan personel, bunu iç düzenlemelere uygun olarak yapacaktır. Söz konusu personelin 2 yıllık bir süre için kendi tatillerini almayı bırakmadıkları önerilmektedir. Bazı bilgisayar sahtekarlıkları, kendilerini rapor edenlerin tatile çıktıklarında bulunma eğilimindedir; sisteme erişemedikleri veya tatilleri sırasında değiştirildikleri zaman. İş Yöneticisine, bunun idari kontroller içinde dikkatle dikkate alınması gereken temel bir güvenlik noktası olduğuna dikkat edilmelidir.
5.3.2 Eğitim
Sistem personeli, veri güvenliği standartlarını ve prosedürlerini ve işyerlerinin belirli güvenlik özelliklerini takip ederek şirketin sahip olduğu eğitim planına uymalıdır.
5.3.2 Hesaplamalı Kaynakların Kullanımı
Hesaplamalı kaynakların kişisel işler için kullanılması yasaklanmalıdır.
Her kullanıcının çalıştığı yazılımın kullanımına göre atanması ve ilgili lisanslara sahip olması gerekir.
Çalışanlar hassas veya gizli verilerin depolanmasına aşina olmalıdır.
Her kullanıcının atanmış ekipmandan, kullanılan yazılımdan, içerdiği verilerden ve çalıştığı hizmet programlarından sorumlu olduğuna dikkat edilmelidir.
Şirket, yasa dışı (lisanssız) yazılımların ve şirket standartlarına uymayan yazılımların kullanımına ilişkin açık politikalar ve düzenlemeler oluşturmalıdır. Aynı şekilde şirket, normalde iş sözleşmelerinde düzenlenmiş olarak bırakılan dahili personel tarafından hazırlanan veya geliştirilen programların açıkça belirlenmiş bir kullanımını ve sahipliğini tesis etmelidir.
- SONUÇLAR
- Tüm şirket süreçleri kontrol ve güvenlik faaliyetleri içermelidir. Reengineering uygulaması olan veya olmayan herhangi bir şirket süreci, hem verilerinde hem de bileşenlerinde kontroller ve güvenceler olmadan kalamaz.
- Kontrollerin yokluğu, HER ZAMAN Yeniden tasarlanan bir süreçte ve HER ZAMAN HER ZAMAN verimlilik ve verimliliği artırmak için herhangi bir araç uygulaması olmadan sunulan süreçlerdir. Yeniden yapılandırma mükemmel bir metodolojik araçtır, uygulanabilir ve mükemmel sonuçlar ve dramatik gelişmeler sağlar, ancak değer katmayan faaliyetleri ortadan kaldırma arzusuyla süreçleri kırılgan ve zayıf bıraktığı daha az doğru değildir; tatmin edici ve dolayısıyla vazgeçilmez kontrollerden yoksun bir süreç yaratırlar. Benzer şekilde, Yeniden Yapılandırmaya tabi tutulmamış süreçler, bunlar stratejik olarak değerlendirilmediyse kontrol yokluğu gösterebilir.
- İnsan davranışının modellenmesi, tatmin edici düzeyde kontrol ve güvenlik sağlamak için YETERLİ değildir. İnsan davranışını modellemeyi amaçlayan ve olağan kontrollere ve menkul kıymetlere karşı çıkan birçok yeni teknik ve metodolojinin öncüsü vardır. İnsan modellemesi, süreçlerde hata veya sahtekarlığın yapılmamasını sağlamak için “yeterli” değildir. İnsan modellemesi, çok faydalı oldukları pazarlama, stratejik ve insan ilişkileri konularında geçerlidir, ancak bunlar operasyonel ve güvenlik açısından geçerli değildir.
- Son olarak, bir güvenlik sistemine sahip olmanın faydaları asla tam olarak ölçülemez, çünkü çoğu şirket birisinin menkul kıymetlerini kırmaya çalışacağını gerçekten bilmeyecektir. Ancak, kaçınılması gereken maliyetlerin bir sonucu olarak, faydaların büyük olacağını objektif olarak belirlemek kolaydır. Bu durumda, güvenlik sistemleri “paha biçilmezdir. Güvenlik sistemlerinde bulabileceğiniz tek avantaj ve dezavantajlar alternatif olarak verilmiştir.seçtiğiniz ve uyguladığınız ve bu işlemlerinize az ya da çok güvenlik sağlayacaktır. Sunulabilecek diğer alternatif, herhangi bir güvenlik sistemine sahip olmamasıdır; ki bu kesinlikle ihmal edicidir.
- ÖNERİLERİşletme yöneticisi, manuel veya otomatik süreçlerin ihmal veya fazlalığa düşmeden yeterli ve yeterince kontrol edilmesi gerektiğini hatırlamalıdır. Burada bu çalışmada en azından şirketinizdeki zayıf noktaların bir listesini hazırlayabilmenizi ve bunları kontrol etmeniz gerektiğini bilen bir araç sağlanmıştır. Şirketinizdeki her şeyin yolunda gittiğini ve bu işte önerilen hiçbir şeye ihtiyacınız olmadığını düşünüyor musunuz? Cevabınız evet ise, daha önce okuduysanız makaleyi tekrar okumanızı tavsiye ederim; daha sonra denetimlerin ve veri güvenliğinin uygulanmasına en çok dahil olan Sistem yöneticinizle görüşün ve sistem bölümünün her alanının ne yaptığını size ayrıntılı olarak söylemelerini isteyin. Garanti ederim,listenizdeki her bir öğeyi uygulayabileceğinizi ve bu muhteşem dünyaya girebileceğinizi bildiğinize şaşıracaksınız; İş yöneticisi tüm alternatifleri incelemeli ve Yeniden Yapılandırmayı seçerse; yeniden tasarlanan yeni sürecin ne olduğunu bilmelimeliyeterli ve tatmin edici kontrol ve güvencelerin uygulanması ile dengelemek. Belki de aynı Yeniden Yapılandırma personeli ile bunu yapmak mümkün olmayacaktır, çünkü Yeniden Yapılandırma ve kontrol kavramları sözün çoğunu almaz. Bu nedenle yöneticinin hem sürecin üretkenliği ve verimliliği hem de güvenliği açısından bir anlaşmaya varmak için Sistem başkanına ve Yeniden Yapılandırma başkanına danışmasını tavsiye ederim.İşletme Yöneticisi, şirketinin tüm süreçlerinde daha fazla yer almalıdır. hem idari, hem operasyonel hem de sistemler. Ancak o zaman şirketinizin süreç zincirindeki her bağlantının nasıl bağlandığına dair tam bir fikriniz olur Ağlarınızı, bileşenlerinizi veya verilerinizi korumak için sistem güvenliğine ne kadar yatırım yaparsanız yapın, bunun bir miktar olacağını düşünmeyin.“Yeter” çünkü teknolojik gelişmeler davetsiz misafirleri dışarıda tutmak için her zaman daha fazlasını gerektirir. Bununla birlikte, güvenlik edinimini bir gider olarak değil, bir yatırım olarak göreceksiniz.
KAYNAKÇA
-Veri Güvenliği, Fiyat Su Evi İşçileri Metodolojisi 1992
Beklenmedik Durum Planı, Fiyat Su Evi İşçileri Metodolojisi 1997
Reengineer, Raymond L. Manganelly ve Mark M. Klein'a nasıl
-İnsan Kaynakları Yönetimi, Idalberto Chiavenato 1994
-İşletme Yönetimi (teori ve uygulama, ikinci bölüm), Agustin Reyes Ponce 1994.
-Magazine “Mundo Informático” Baskı Nisan 1998
-Dergiler “Seçimler” Basım Haziran 1996
-Evren Dergileri ”Etkinlikler Bölümü” Temmuz-5-1999
Sorularınız için internet siteleri:
| Su dedektörleri | http://www.cam.surf1.com |
| İtfaiyeciler | http://www.pp.okstate.edu/ehs/modules/apw.htm |
| Klimalar | http://www.liebert.com/products |
| Kesintisiz Güç Kaynakları (UPS) | http://www.exide.com |
| kablolama | http://www.wit-sa.com.ar
www.sidicom.net |
| Güvenlik sistemi | http://protectiontech.com/ |
| Citibank dolandırıcılık davası | http://www.infowar.com
www.discovery-channel.com/area/technology/hackers/levin.html |
| Londra'daki Baring Bank'ta dolandırıcılık davası. | http://www.imd.ch/pub/pfm_9601.html
www.fsa.ulaval.ca/personnel/vernag/PUB/Barings.E%20.html |
| Michigan Spring Arbor Üniversitesi'nde dolandırıcılık davası. | http://cgi.pathfinder.com/time/magazine/archive/1995/950529/950529.scandal.html |
| Piramit Sahtekarlık Sistemi. | http://cnet.bigpond.com/Briefs/Guidebook/Crime/ss03a.html |
YAZARIN VERİLERİ
| ad | Sonnia Rosado García |
| Yaş | 28 sene |
| Üniversite derecesi | Ticaret Mühendisi (İşletme Yöneticisi) |
| E-posta | [email protected] |
| Ülke Şehir | EKVADOR / Guayaquil |
|
Yeniden Yapılandırma, Toplam Kalite, Beklenmedik Durum Planları ve Fiziksel Güvenlik süreçlerinde deneyim. |
