Lớp: An toàn thông tin kế toán Chiều thứ 3 Phòng: A.

313
Nhóm 3
Thành viên nhóm MSSV
6. Kiều Quang Dũng 31201023155
14. Trần Thị Hường 31201022015
22. Đặng Lê Diên Ly 31201026535
23. Lại Thị Mai 31201023899
51. Đặng Thị Thúy Tiên 31201023528
Bài làm
Xem phim False Assurance, trình bày tóm tắt nguyên nhân và kết quả của sự cố hệ
thống thông tin của công ty D-Merton bị tấn công, đánh cắp dữ liệu.

Nguyên nhân Kết Quả

1 Có 4 hệ thống IT hoạt động cùng Dễ bị tấn công từ nhiều hướng; số lần thử xâm
lúc; mức độ bảo vệ, bảo mật của nhập tăng đáng kể trong vòng 12 tháng qua
mỗi hệ thống là khác nhau Vì vậy, Hội Đồng quản trị của công ty phải bàn
bạc đưa ra 2 phương án nhằm sửa đổi lại hệ
thống:
+ Phương án 1: Thay thế hệ thống cũ bằng 1 hệ
thống mới đồng bộ tất cả - mất 9 tháng để thực
hiện và thuê bộ phận IT bên ngoài trong quá
trình chuyển đổi
+ Phương án 2: Nâng cấp cơ sở hạ tầng hiện tại
- mất nhiều thời gian thực hiện và phần chi phí
có thể kiểm soát được

2 Từ hệ thống tài chính của công ty Có 4 lần cơ sở dữ liệu thiết kế bị truy cập (cơ
con, kẻ xâm nhập đã tạo ra ID riêng sở dữ liệu nội bộ và thiết kế của S1D)
để dễ dàng truy cập vào thông tin Do có sự trì hoãn trong việc phát hành S1D,
nội bộ (ID này cho phép truy cập công ty phải đối mặt với 1 vụ kiện (có khả năng
vào toàn bộ hệ thống, mà sự phân thua kiện lớn. Trong số 11 đơn đặt hàng trước
quyền không phát hiện ra các sự đó, có 5 đơn hàng đã được xác nhận, 6 đơn còn
xâm nhập bất thường này) lại chưa được xác nhận
 3 Trưởng bộ phận IT bị giám đốc Chi phí cho dự án IT bị khai khống lên nhiều
kinh doanh Tom Noble đe dọa và lần, trong đó có các khoản chi cho những nhà
bắt buộc phải hợp tác với một công cung cấp ma được kiểm soát bởi những người
ty an ninh mạng do chính ông ta đề có mối quan hệ với Tom
nghị.

Thảo luận theo nhóm 5 thành viên, mỗi thành viên đóng vai các nhân vật sau: Roger
Tillman, Kris Perry, Alex Frayn, Liz Harris, Amisha Chopra; các bạn sẽ làm gì?
Roger Tillman - Chủ tịch
Kris Perry - Trưởng phòng IT
Alex Frayn - Giám đốc tài chính
Liz Harris - Kiểm toán viên & Chủ tịch ủy ban rủi ro
Amisha Chopra - Tổng cố vấn & Thư ký
Giả sử mỗi thành viên nhóm đóng vai các nhân vật trên:
Roger Tillman là chủ tịch công ty nằm trong HĐQT không điều hành khi nhận thấy
hệ thống công nghệ thông tin có vấn đề, chủ tịch HĐQT phải có sự quan tâm đặc biệt đến các
giai đoạn của thiết lập hệ thống. Roger sẽ luôn thận trọng mọi thứ, phải có lập trường riêng,
không bị chi phối bởi mọi người xung quanh. Điều này được thể hiện trong cuộc họp, ông sẽ
nêu lên ý kiến suy nghĩ của mình khi chọn phương án xử lỗi đc nêu ra. Ông sẽ tìm mọi cách
chứng minh tại sao mình chọn phương án khác mọi người, phải suy xét, để từ đó tìm ra
hướng giải quyết tốt nhất.
Đến với nhân vật tiếp theo, người đóng vai trò cực kỳ quan trọng trong hệ thống
thông tin của công ty. Đó là Kris Perry-trưởng bộ phận IT thuộc ban điều hành của công ty.
Là người hiểu rõ tính nghiêm trọng của vấn đề về nguy cơ bị xâm nhập, ông phải đưa ra lời
tư vấn xác đáng nhất để thuyết phục ban quản trị lựa chọn phương án nào phù hợp nhất đối
với đơn vị, chứ không phải đơn thuần là đề xuất các phương án và việc lựa chọn là của hội
đồng quản trị, bởi vì hội đồng quản trị bị hạn chế về mặt chuyên môn. Kris Perry sẽ đưa ra
những mức ảnh hưởng của từng phương án để cho HĐQT có cách nhìn vấn đề chính xác hơn.
Từ đó, để có thể chống lại các lời đe dọa tránh gây thiệt hại cho doanh nghiệp.
Nhân vật Alex Frayan, là giám đốc tài chính, ông phải kiểm soát, phát hiện các vụ
gian lận sổ sách, để cho một khoảng tiền của tập đoàn bị chi trả cho các nhà cung cấp ma.
Các khoản thanh toán liên quan đến công ty Premintel mặc dù công ty này đã kết thúc hợp
đồng với D-Merton nhưng các khoảng thanh toán vẫn thường xuyên diễn ra. Chính vì vậy,
ông phải luôn theo dõi sát sao các giao dịch của tập đoàn đối với các đơn vị bên ngoài, yêu
cầu các bộ phận có liên quan báo cáo về tình hình các khoản thu chi và xuất trình các hợp
đồng và chứng từ có liên quan đầy đủ. Báo cáo ngay với ban lãnh đạo khi công ty Premintel
có mối quan hệ gia đình mật thiết với ông Giám đốc điều hành thì sẽ có khả năng xuất hiện
sự gian lận để trục lợi.
Nhân vật Liz Harris, là chủ tịch uỷ ban kiểm toán và quản lý rủi ro, cần đưa ra các
hành động quả quyết khi phát hiện các vấn đề gian lận trong công ty, phải thận trọng với mọi
thứ, phải xem xét kỹ các mối nghi ngờ nào được nêu ra. Và cần lắng nghe những ý kiến từ
các thành viên khác trong hội đồng nhiều hơn là quyết định theo suy nghĩ của mình.
Nhân vật Amisha Chopra, là phụ trách pháp lý kiêm thư ký công ty, cô cần phải đanh
thép hơn trong việc phát hiện và xử lý các vấn đề có liên quan đến pháp lý, khi biết được
thông tin của hệ thống S1D mới bị rò rỉ và các đối thủ có thể lấy cắp thông tin, có xuất hiện
các bằng chứng cho thấy khả năng này là cao thì cô phải tiến hành điều tra sự việc và báo cáo
đến ban quản trị để có biện pháp xử trí cho vấn đề bản quyền và thiết kế. Cô cần phải cung
cấp những thông tin về các vấn đề pháp lý cho ban điều hành và hội đồng quản trị, khi có xảy
ra sự việc tranh chấp về vấn đề bản quyền.