أمن المعلومات المحاسبية
على الرغم من أن الشبكة العالمية اليوم تعتبر من أوسع البيئات لممارسة المعاملات التجارية المختلفة , إلا أن هذه المعاملات التجارية لن تستمر وتتطور وتصل إلى وضعها المأمول ما لم تقل المخاطر التي تحتويها تلك المعاملات . ذلك أن ضعف ثقة المستهلك بالشبكة العالمية وقلة اعتقاده بمصداقية الأعمال الالكترونية الموجودة عليها والتي تعود إلى خوفه من بعض الأمور التي تتعلق بإتمام عمليات الطلب والشراء عبر الشبكة العالمية من شأنها أن تقف في طريق تقدم التجارة الالكترونية .و تتمثل تلك المخاوف في الآتي:
- إمكانية اختراق خصوصية المعلومات الشخصية الخاصة التي يقوم المستهلك بتسجيلها او احتمالية استخدامها في غير مواقعها
- الشكوك القائمة حول إمكانية الاعتماد على الموقع التجاري الالكتروني فيما يتعلق بجودة أنظمتها وإمكانية إتمام عمليات الشراء وما إذا كانت الشركة التجارية ستقوم فعلا بإيصال السلعة التي تم شرائها.
- مخاوف استخدام بطاقات الائتمان المصرفية في عمليات الدفع وقد يعود ذلك إلى إمكانية تعرضه للسرقة جراء تسجيله لبيانات بطاقة الائتمان والتي عادة ما تكون سرية جدا .
- كيفية حماية حقوق المستهلك خصوصا وان قوانين الحقوق تختلف من دولة إلى أخرى.
- غموض سياسات الاسترجاع و التبديل , والمدة المحددة للاستلام ومستلزمات إيصال واستلام البضائع.
أما بالنسبة للمخاطر التي تتعرض لها الشركات الالكترونية فإن أعلى تلك المخاطر درجة هي مخاطر السرقة والاحتيال الناتجة من اختراق الخصوصية والاطلاع على المعلومات السرية والتي تكون عادة غي مرحلة نقل البيانات بحيث تمر على أوساط ومواقع عديدة قبل وصولها إلى مقرها النهائي وذلك يسمح لذوي النوايا السيئة بقراءة المعلومات السرية والهامة وبالتالي الاستفادة منها.
ويكون مستوى مخاطر السرقة والاحتيال في التجارة الالكترونية أعلى منها في التجارة العادية على الرغم من أن الأخيرة تتم بالقوة و استخدام السلاح في بعض الحالات. وطبقا لدراسة استطلاعية قام بها كل من مكتب التحقيقات الفيدرالي FBI وهيئة أمن الحاسب الآلي CSI فإن 42% من الشركات التجارية تتعرض للاستخدام الغير مصرح به لأنظمة معلوماتها ، وشركات أخرى وصلت تكاليف التغلب على الثغرات الأمنية في أنظمة معلوماتها إلى 100 مليون دولار أمريكي والذي يزيد من خطورة الأمر هو أن اللص الالكتروني يستطيع أداء عمله من أي مكان في العالم ويصعب جدا الوصول إليه.إضافة إلى ما سبق , فإن العديد من الشركات الالكترونية لا تمتلك أدوات تحكم وأساليب متقدمة تستطيع من خلالها اكتشاف الثغرات الأمنية الموجودة في أنظمتها أو لا تهتم بالقيام بذلك مما يسهل من القيام بالعمليات الإجرامية السابق ذكرها.
أمن المعلومات
شاع استخدام مصطلح “أمن المعلومات” في نطاق أنشطة معالجة ونقل البيانات بواسطة أنظمة الحاسب الآلي على الرغم من ظهور الحاجة إليه قبل استحداث وسائل التكنولوجيا الحديثة للمعلومات. وباستبدال الطرق التقليدية لحفظ وتخزين ومعالجة المعلومات بالطرق الالكترونية الحديثة أصبحت تلك المعلومات مهددة أكثر مما كانت عليه في السابق بحيث يسهل الوصول إليها أكثر من ذي قبل وبذلك أصبحت الحاجة إلى أمن المعلومات حاجة أساسية واحتلت مساحة واسعة من الأبحاث والدراسات وباتت هاجسا يؤرق العديد من الجهات . وبنظرة عامة إلى مصطلح امن المعلومات نجد أنه يشير إلى توفر السرية والموثوقية للمعلومات واكتمالها وضمان استمرارية وجودها وإمكانية التحقق من كل تصرف أو كل معالجة مطبقة عليها.
وفي دراسة ( -Maurer (2004 قام الباحث بتقسيم مفهوم امن المعلومات إلى قسمين أساسيين : أحادي وثنائي . ويقصد بأمن المعلومات الأحادي: أن يكون النظام آمنا بحد ذاته وموثوقا إن لم يتمكن أي متطفل خارجي من إحداث أي تغيير في النظام يخرجه عن سلوكه الطبيعي أو أي تعديل أو تغيير في البيانات نفسها أي يجب حمايته من أي اختراق خارجي و مستخدم هذا النظام يعتمد عليه كليا ولا يشكل له هذا النظام أي هاجس أمني بشكل أو بآخر.
أما الأمن الثنائي : فيشير إلى أنظمة المعلومات التي تحتاج إلى الحماية من الطرفين أثناء التعامل معها مثل أنظمة التبادل التجاري الالكتروني والتي يفتقد فيها المشترى والبائع إلى الثقة في بعضهما ويحتاجان إلى ضمان سلوك احدهما تجاه الآخر وفي الواقع وفي مثل هذه الحالات يتم الافتراض بصدق وموثوقية أحد الأطراف للآخر لإتمام العملية التجارية.
الأركان الرئيسية لأمن المعلومات.
أهم ما يميز هذا العصر هو توفر المعلومات وسهولة الحصول عليها من مصادر مختلفة ومتعددة . وتتفاوت نوعية هذه المعلومات وخصائصها باختلاف مصادرها ولكنها تتحد في إمكانية نسخها بأقل التكاليف وإمكانية تعديلها أو حذفها بدون ترك أية آثار تدل على ذلك مالم تتوفر الحماية اللازمة لمصادر هذه المعلومات من خلال الاعتماد على أنظمة أمن المعلومات. لذلك، يهدف تعبير أمن المعلومات بوجه عام إلى توفر ثلاث أمور رئيسية هي:
السرية.Confidentiality
وتعني أن تتمتع المعلومات بسرية وخصوصية تامة و التأكد من عدم إمكانية الاطلاع عليها من أطراف غير مسئولة أو لأغراض غير شريفة.
الموثوقية وسلامة المحتوى. Integrity
وتشير إلى التأكد من عدم إمكانية تغيير المعلومات أو التعديل عليها وبالتالي سلامة محتوى تلك المعلومات واكتمالها.
استمرارية التوفر أوالوجود. Availability
التأكد من توفير السبل التي تضمن توفر المعلومات والتصدي لأي مخاطر ممكنة من شأنها أن تؤثر على استمرار تواجدها ووضع الخطط و السياسات اللازمة لاسترجاع البيانات في حال تعرضها لأحد المخاطر المحتملة .
المخاطر التي تواجه المعلومات الالكترونية.
تتعرض المعلومات للعديد من المخاطر في مراحل الجمع والمعالجة والاسترجاع وفي مرحلة النقل والتبادل وفي مرحلة التخزين كذلك ولكل مرحلة مخاطرها ووسائل حمايتها الخاصة. من هذا المنطلق يمكن تصنيف المخاطر إلى ثلاثة أنواع :-
- المخاطر التي تتعرض لها المعلومات في مرحلة خلق واسترجاع وتعديل وإلغاء المعلومات ، وجامعها وجود المعلومات داخل النظام .
- المخاطر التي تتعرض لها المعلومات في مرحلة النقل ، أي التبادل بين أنظمة الكمبيوتر عبر الشبكات المختلفة.
- المخاطر التي تتعرض لها المعلومات في مرحلة التخزين على وسائط خارج النظام .
كما تصنف المخاطر باعتبار الطرف المتضرر:
على نطاق التجارة الالكترونية، يمكن تصنيف المخاطر التي تتعرض لها المعلومات على الشبكة العالمية من وجهة نظر الطرف المتعرض لهذه المخاطر إلى ثلاث أصناف: مخاطر متعلقة بالمستهلك، مخاطر مرتبطة بالمنشأة التجارية، ومخاطر أخرى لا تختص بأحد الطرفين على وجه التحديد.
المخاطر المرتبطة بالمستهلك :
وتتمثل في احتمالات سرقة أرقام بطاقات الائتمان والأرقام السرية واختراق الخصوصية. وعلى الرغم من أن هذه المخاطر ترتبط بالمستهلك إلا انه من الواجب على المنشأة التجارية الاهتمام بها بحيث تكون على وعي تام بكافة هذه المخاطر ومن ثم تتخذ الطرق والإجراءات المناسبة للحد منها وتخفيضها أو منعها إن أمكن لما له من تأثير مباشر على اكتساب العملاء ومن ثم زيادة أرباح المنشأة.
المخاطر المرتبطة بالمنشأة التجارية:
تتعرض الشركات الالكترونية إلى مخاطر متعددة وان كان من أهمها تلك المخاطر المتعلقة بأمن معلوماتها والتي يتم التوسع في الحديث عنها في الجزء الثاني من الدراسة.
وتصنف المخاطر باعتبار مصادرها :
هناك من يصنف المخاطر التي تتعرض لها نظم المعلومات بحسب مصادرها إلى :
أخطار بشرية.
المتمثلة في الأخطاء البشرية غير المتعمدة والتي تحصل في مرحلة الإدخال أو أخطار السرقات المتعمدة من بعض الأشخاص كالسرقات الفعلية الملموسة للشركات .
أخطار بيئية.
الحوادث المفاجئة كالحرائق والتفجيرات والتي تخلف آثار تدميريه للمكان المرتبط بنظام المعلومات المحاسبي. ويندرج تحت هذه المخاطر أيضا الكوارث البيئية المحتملة كالفيضانات والزلازل التي تخلف تخريب شامل أو جزئي لموقع الشركة التجارية أو الشركة المستضيفة للموقع التجاري ( مقدم الخدمة).
جرائم الكترونية.
سرقات المعلومات الالكترونية تعتبر أكثر خطرا في بيئة الشبكة العالمية عنها في الشبكات المغلقة أو المحدودة .وقد تعرضت 40% من الشركات إلى الدخول غير المصرح به لأنظمة معلوماتها و32% من الشركات قد بلغت عن فقدان مئات الملايين والتي تعود لأسباب أمنية وما يزيد من حساسية الأمر هو أن السرقة الالكترونية يمكن إتمامها من أي مكان في العالم ومن السهل تنفيذها بمهارات معقولة.
وتتم هذه الجرائم الالكترونية بصور شتى نذكر منها ما يلي:
خداع بروتوكول أو سياسات الانترنت IP Spoofing
كلمة spoofing تعني التخفي ويقصد بها هنا محاكاة صفات المخول لهم بالدخول وانتحال شخصياتهم بهدف الغش والخداع. والفكرة هنا قائمة على تزوير العناوين الالكترونية بحيث يقوم المهاجم عبر هذه الوسيلة بتزوير العنوان المرفق مع حزمة البيانات المرسلة بحيث يظهر للنظام المعتمد في تبادل المعطيات على بروتوكولات النقل وأهمها بروتوكول الانترنت الأساسي على انه عنوان صحيح مرسل من داخل الشبكة أو من جهة معترف بها، بالتالي يسمح النظام لحزمة البيانات بالمرور باعتبارها حزمة مشروعة مسموح لها بالعبور.
الهجمات على الشبكة. denial of service attacks
هذا النوع من الهجوم على الشبكات يصمم بحيث يجعل الشبكة في أضعف حالاتها ويبطئ من نظامها من خلال ضغط الطلب غير القانوني على الخادم نفسه server أو عن طريق منع الدخول المصرح به للمستخدم ، تؤثر هذه الهجمات على أداء الأجهزة و الشبكات وبالتالي تعرض أداء الشركات التجارية إلى التوقف المفاجئ إلى حين التغلب على المشكلة وقد تصل أحيانا إلى توقف الشركات التجارية عن العمل تماما.
وهذه الهجمات في تطور مستمر مثل الفيروسات تماما ومهما تمكن البعض من اتخاذ سبل تقنية جيدة للحماية منها إلا انه سيضطر بعد فترة وجيزة إلى تغيير تلك السبل بما يتناسب مع ما استجد من أساليب هذه الهجمات.
فشل التقنية ونقاط الضعف.
ومن جهة أخرى قد تتعرض المعلومات السرية إلى بعض الأمور المتعلقة بالأخطاء المحتملة على الشبكة العالمية. فمن المعروف أنه من الممكن احتواء أنظمة التحويل وأنظمة الاتصالات على بعض من الأخطاء البرمجية أو تعرضها للأعطال المختلفة التي قد تسبب ضياع المعلومات أو عدم وصولها بدلا من سرقتها. فمن المعروف أن البيانات تنتقل عبر الشبكة العالمية من موقع إلى آخر من خلال المرور على عدة مواقع أو محطات مختلفة في طريقها حتى تصل إلى الموقع المطلوب ولا تتخذ طريقا واحدا في كل مرة. إضافة إلى ذلك فإن هذه المعلومات لا تنتقل كدفعة واحدة كما يرسلها المرسل بل تنقسم إلى أجزاء كل جزء منها يتخذ طريقا مختلفا عن غيره ، لذلك ، من المحتمل جدا أن يتم الاطلاع عليها من قبل أطراف خارجية أثناء تنقلها عبر الشبكة وقبل وصولها إلى مقرها النهائي.
الاختراق.
الاختراق بشكل عام هو القدرة على الوصول لهدف معين والدخول على الأجهزة بطريقة غير مشروعة عن طريق ثغرات في نظام الحماية الخاص بها بهدف التطفل على خصوصيات الآخرين وإلحاق الضرر بهم. ويطلق على المخترق مصطلح (Hacker) وحينما يتمكن المخترق من إحداث الأضرار كحذف ملفات أو تشغيل ملفات مؤذية أو وضع وزارعة ملفات تجسسيسة (أحصنة طروادة) أو فيروسات أو أي نوع من هذه الأنواع فهو مخرب (Cracker). ويتم الاختراق عن طريق معرفة الثغرات الموجودة في النظام والتي غالباً ما تكون في المنافذ أو (Ports) الخاصة بالجهاز, و يمكن وصف هذه المنافذ بأنها بوابات للكمبيوتر على الشبكة العالمية تسمح لها بالدخول.
الفيروسات.
الفيروسات هي برامج يتم تصميمها بهدف إلحاق الأذى بالأجهزة والنظم والبرامج والمعلومات . وتختلف الفيروسات في طرق عملها فمنها ما يعمل بمجرد الدخول إلى النظام ومنها ما ينتظر أمر تشغيل معين من المستخدم حتى تبدأ نشاطها ومنها ما يتم توقيته بتاريخ او ساعة معينة حتى تبدأ بمهامها التخريبية. وتتفاوت الأضرار التي تحدثها الفيروسات فقد تقتصر على التحكم في بعض عمليات النظام وقد تمتد إلى البرامج المهمة والملفات الضرورية للنظام وتدمرها أما أشدها ضررا هي تلك الفيروسات التي تتمكن من التأثير على الجهاز نفسه بحيث تتلف وسائط تخزينه و دوائره الالكترونية. وتتميز الفيروسات في مقدرتها على الانتشار السريع واعتمادها على نفسها في الانتقال من خلال وسائط التخزين المختلفة إلى الجهاز أو الانتقال عبر الشبكة العالمية من خلال البريد الالكترونية أو أي ملفات أخرى يتم تحميلها.
طرق وأساليب أمن المعلومات .
مع تزايد الحاجة الى الاتصالات وتبادل البيانات والمعلومات تزداد الحاجة الى توثيق تلك الاتصالات والتأكد الاساليب التي تضمن شرعيتها وتأمينها من المخاطر المحتملة السابق ذكرها . ويمكن تلخيص هذه الاساليب كالتالي:
الأساليب الإدارية.
عند تجهيز نظام الأمن وإجراءاته يجب أولا وضع موظفين الشركة في الحسبان باعتبارهم اكبر مهددي أمن لمعلوماتها والذين في مقدرتهم العبث في نظام الحماية المعد من قبل الشركة وبذلك تمكنهم من الدخول من خارج المنشأة أو السماح لغيرهم بالقيام بالمهمة.
لذلك يجب التأكد من القيام بالمهام التالية :
- إعطاء الموظف أقل مزايا ممكنة والتي تمكنه فقط من أداء المهام المكلف بها.
- تقليل الإفصاح عن البيانات الهامة والحساسة والسماح للمسئولين فقط بالاطلاع عليها أو تعديلها.
- تغيير أساليب الدخول بشكل مستمر مثل كلمات السر.
- تدقيق المدخلات والمخرجات.
الأساليب المادية.
ويقصد بها التأكد من حماية الأجهزة ماديا وذلك عن طريق تقييد الدخول إلى المكاتب والأقسام التي تحوي موارد حاسوبية هامة والتأكد من الاستعداد للطوارئ كالحرائق أو الكوارث الطبيعية ووضع الخطط اللازمة لاسترجاع المعلومات المفقودة من جراء هذه الكوارث وهو ما يسمى ب (Disaster Recovery Planning). بالإضافة إلى ذلك حماية بيئة الحاسب الآلي من التيارات الكهربائية غير المنتظمة والحقول الممغنطة والتأكد من مناسبة درجات الحرارة والرطوبة وغيرها من الأحوال المناخية التي تؤثر على أداء الحاسب الآلي على الأجل الطويل.
الأساليب الالكترونية.
لقد كانت الحاسبات الآلية في السابق تعتمد على أسلوب Dialup أو Dial on Demand أي انه لن يكون الجهاز على اتصال بالشبكة العالمية مالم يقم المستخدم فعليا بطلب هذا الاتصال وبمجرد الانتهاء فإن الجهاز يقوم بقطع ذلك الاتصال. واليوم مع تقدم الاتصالات فإن الغالبية العظمى من المنظمات والأفراد تعتمد على أسلوب Broadband في الاتصالات والتي تعني أن خط الاتصال مفتوح دائما وبمجرد تشغيل جهاز الحاسب الآلي – مع العلم أن المنشآت الإدارية والتجارية لا تقوم بإيقاف تشغيل أجهزتها إلا ما ندر- فإنه يفتح خط الاتصال بالشبكة العالمية ومنها تقنية DSL و Leased Line Technology. لذلك فإن إجراءات الوقاية يجب أن تكون صارمة ومكتملة ومستمرة باستمرار الاتصالات واستمرار العمل ومن هذه الإجراءات ما يلي.
استخدام بروتوكولات وقوانين الأمن على الشبكة العالمية
إن احد الطرق الكفيلة بضمان امن المعلومات هو استخدام التقنيات الحديثة التي توفرها الشركات المختلفة لتدعيم أمن الاتصالات والتبادلات ونذكر من أمثلتها تقنية (SSL)
Secure Sockets Layer والتي تضمن الاتصال الآمن بين مستخدم الشبكة ومقدم الخدمة وهي تقنية أمنية تستخدم في العادة لتشفير الاتصالات بين المستخدمين ومواقع التجارة الالكترونية والذي يؤمن التبادلات التجارية بينهما ويمنع أي تدخل خارجي على هذه البيانات.
تشفير البيانات Data Encryption
تشفير البيانات هي عملية ترميز البيانات قبل تحويلها أو إرسالها واستخدامها في إجراءات التبادل ومن ثم فك الترميز بعد الإرسال واهم ما في التشفير هي مفاتيح الرموز والأشخاص المخولين بمعرفتها ولها طريقتين أساسيتين تعرف بـ (DES) Data Encryption Standard و (PKE) Public Key Encryption .
التصريح الرقمي Digital Authorization
وتتعلق بالتقنيات التي تدعم عملية سماح ارسال البيانات من عدمه أي انها تقنية لاثبات ان هذا الارسال مسموح به وقانوني ولها طريقتين :
التوقيع الرقمي Digital Signature
التوقيع الرقمي هي تقنية جديدة تسمح لطرفين مختلفين بتوثيق صلاحيتهما للمعلومات والمستندات المحولة الكترونيا. وعند إضافة التوقيع الرقمي إلى المستند أو الوثيقة الالكترونية فإنها تضمن بأن مرسل الوثيقة هو نفسه صاحب تلك الوثيقة أو المسئول عنها. يسمح التوقيع الالكتروني للشركات بتبادل معلومات حساسة وهامة بدون الخوف من دخول أطراف خارجية في عملية التبادل ولا شك أن هذه التقنية تستخدم في البنوك والمؤسسات المالية المختلفة والقطاعات العامة والحكومات وغيرها. وبالنظر إلى التطور السريع الملحوظ في عمليات التجارة الالكترونية يمكن القول أن الحاجة إلى التقنيات الحديثة التي توفر الضمان للأطراف التجارية مثل التوقيعات الرقمية والتحكم بالدخول وغيرها من التقنيات التي تضمن حماية المعلومات المالية والمحاسبية أصبحت حاجة لا يمكن الاستغناء عنها. ويعتبر التوقيع الرقمي أفضل من التوقيع اليدوي بأكثر من وجه فالتوقيع اليدوي يمكن تقليده ونسخه إلى مستندات أخرى بواسطة المتمرنين وخبراء الخطوط في حين يصعب التعديل أو التغيير في التوقيع الرقمي وحصوله يسبب فشل عملية التعرف على المستند وبالتالي عدم اكتمال إجراءات التبادل الالكتروني لها.
الشهادات الرقمية . Digital Certificate
الشهادات الرقمية هي ملفات تستخدم لأغراض الأمن الالكتروني تتضمن أسم وعنوان صاحب الشهادة وتاريخ التصريح ومفتاح التشفير المستخدم في الوثيقة والذي من خلاله يتم التعرف على التوقيع الالكتروني والتأكد من صلاحيته. بالإضافة إلى اسم الشركة التجارية ويستخدم في العادة في نظام (SSL) والذي تم التطرق إليه سابقا.
الجدران النارية Firewalls :
الجدار الناري Firewall هو مزيج من الأجهزة والبرامج التي تستخدم لمنع الدخول الخارجي من الاطراف الغير قانونية او المتطفلين الى النظام. وتعتبر الجدران النارية ركنا أساسيا في أي حل أمني لتقنية المعلومات. ومن خلال الجدران النارية ، يتم وضع سياسات التحكم في الوصول وتحديد المصرح و غير المصرح منها أي التحكم في إمكانية الدخول إلى الأنظمة أو الشبكات ومنع أي دخول غير مصرح به من قبل النظام أو الشبكة. بالإضافة إلى ذلك تعتبر الجدران النارية الحل الأمثل لمشاكل الاختراق والتطفل بحيث توفر الحواجز التي تمنع هجمات المخترقين وحماية البريد الالكتروني الوارد والصادر من والى النظام ومنع الاطلاع عليه من قبل الأطراف الخارجية غير المسموح بها.
برامج الحماية من الفيروسات Antivirus Software
وهي البرامج التي تقوم بحماية أنظمة المعلومات وأنظمة التشغيل من هجمات الفيروسات و بقية البرامج التي تشكل تهديدا امنيا .ومن الممكن تحديد ملفات الفيروسات من مصادرها المختلفة وبالتالي رصدها والقضاء عليها. ويتكون برنامج مضاد الفيروسات من قسمين مختلفين هما التشغيل المباشر عند الدخول والذي يعمل تلقائيا عند تشغيل البرامج أو تنزيل الملفات من الشبكة . أما القسم الآخر فهو قسم التشغيل عند الطلب ويعمل عند طلب المستخدم ويتخصص بالكشف عن لفيروسات وما يعرف بأحصنة طروادة التي قد تتواجد في أقراص التخزين المختلفة . الجدير بالذكر أنه لا توجد هناك برامج مضادة للفيروسات يمكنها حماية الجهاز حماية مطلقة ولكن الاعتماد على هذه البرامج في الحماية يبنى على مدى الاهتمام بالتحديث المستمر لقواعد بيانات هذه البرامج والذي من شأنه تقوية المناعة ضد الفيروسات التي تستحدث باستمرار وبمعدل سريع جدا .
أمن المعلومات المحاسبية فيبيئة التجارة الإلكترونية.
أمن المعلومات المحاسبية لأنظمة التجارة الالكترونية من المواضيع التي اشتهرت بصعوبتها وتعقدها على الرغم من أهميتها. و نعني بها التأكد من أن المعلومات المتوفرة على الشبكة العالمية آمنة من السرقة أو التطفل و المقدرة على استرجاعها في حال فقدها أو تبديلها أكيدة. ومع انتشار الوعي تجاه المخاطر المتعلقة بعمليات التجارة الالكترونية فإنه على المحاسبين معرفتها والإلمام بها والتعرف على الطرق المستخدمة لمواجهتها.
وإذا كانت المنشآت تهتم بمفاهيم الأمن منذ القدم فإنها لازالت تهتم بنفس هذه المفاهيم وتسعى لتحقيق نفس الأهداف إلى يومنا الالكتروني المعاصر ولكن الاختلاف يكمن في الإجراءات والتقنيات المتبعة لتحقيق هذه المفاهيم. ولا شك أنه عند الحديث عن المعلومات المحاسبية لا يتبادر إلى الأذهان سوى المعلومات المحاسبية الالكترونية لأن الواقع العملي يشير إلى أن المنشآت التي تعتمد على النظم المحاسبية التقليدية أو اليدوية قليلة جدا إن لم تكن معدومة ، لذلك فإن الإجراءات الأمنية المتخذة عليها اليوم تختلف في كيفيتها لا بأهدافها .
وكما تتفاوت إجراءات الأمن المتخذة على المعلومات المحاسبية المحفوظة بالطرق التقليدية (ورقيا) وتتراوح بين الحماية القصوى في أماكن مضادة للحريق وحصر الأطراف المسئولة عنها إلى حماية السجلات المحاسبية بإتباع قوانين التدوين وما شابهها فإن إجراءات الأمن المتخذة تجاه المعلومات المحاسبية الالكترونية تتبع نفس النظام وتتراوح كذلك حسب نوعيتها .
أهمية أمن المعلومات المحاسبية.
يقوم النظام المحاسبي باستقبال بيانات مالية ومن ثم معالجتها لإنتاج المعلومات المحاسبية للأطراف المستفيدة و يمكن القول أن هذه الأطراف بغض النظر عن كونها داخلية أم خارجية تعتمد كليا على مخرجات هذا النظام في اتخاذ القرارات. وحتى تكون المعلومات المحاسبية التي تنتجها هذه النظم مفيدة ومؤثرة ونافعة لاتخاذ القرارات فإنها يجب أن تتميز بالخصائص التالية :
الملائمة: وتتوقف على توفر المعلومات في الوقت المناسب حتى لا تفقد قيمتها وعلى إمكانية الاعتماد عليها في التنبؤ وتضمنها لمعلومات عن نتائج القرارات الماضية للمساعدة في القرارات المستقبلية.
الوثوق: ويقصد به إمكانية الاعتماد على المعلومات المحاسبية حيث يهتم بأمانة التمثيل والعرض للمعلومات المحاسبية ودقتها وموضوعيتها واكتمالها وإمكانية التحقق من صحتها ومطابقة القياس للأحداث الواقعية في الوحدة الاقتصادية .
القابلية للمقارنة: وتعني إمكانية الاعتماد على المعلومات المحاسبية في مقارنة نتائج الوحدة الاقتصادية بوحدات أخرى أو بفترات أخرى لنفس الوحدة.
إن نظام المعلومات الكفء القادر على توفير هذه الخصائص في المعلومات المحاسبية يتطلب توفر الأمان والحماية في الدرجة الأولى واختلال النظام الأمني لهذا النظام المحاسبي من شأنه أن يؤثر تأثيرا سلبيا مباشرا على هذه المعلومات ويغير من خصائصها الأساسية وفي دراسة حديثة، يرى الباحث فيها انه الممكن النظر إلى المعلومات الهامة للمنشأة ( والتي تتضمن معلوماتها المحاسبية ومركزها المالي) على أنها أصل من أصولها بالتالي فإن حماية هذه المعلومات تندرج ضمن حماية أصول وعمليات المنشأة وخططها الاستراتيجية ويتم التعامل معها بنفس الأهمية .
وقبل قيام المنشأة من بناء نظامها الأمني وحتى تتأكد من نجاحه عليها القيام بخطوتين هامتين هما :
أولا : يجب على المنشأة حصر المعلومات الهامة والتي تحرص على عدم الإفصاح عنها بحيث يتم التعرف على المعلومات المحاسبية الأكثر أهمية بالنسبة لها وتحديدها ويتطلب ذلك إعادة النظر إلى أصول الشركة وخصومها وحقوق ملكيتها وتحديد أي منها يحتاج إلى حماية أكثر ولماذا وقد تقل هذه المجموعة أو تزيد بحسب نوعية نشاط الشركة وحجمها ففي المنشآت الضخمة المعقدة تتمثل هذه العملية في تعريف المئات من الأصول على مستويات أهمية عالية. إضافة إلى ذلك عليها التعرف على المستفيد من الاطلاع على هذه المعلومات أي تحدد مصادر السطو الرئيسية المحتملة.
ثانيا : تحديد المهارات والعمليات والمصادر اللازمة لحماية هذه الفئة من أصول المنشأة . ومن منطلق أهمية هذه الأصول بالنسبة للمنشأة على وجه عام فإنه من غير المنطق اعتبار هذه المرحلة من مسئولية قسم تقنية المعلومات فقط بل يجب أن تشترك كافة أقسام وإدارات المنشأة في هذه المرحلة خصوصا وان كان نجاح واستمرار المنشأة التجارية قائم على الاهتمام بمعالجة هذه البيانات من خلال عمليات التجارة الالكترونية.
.
ولا شك أن الدور لا يقتصر على المحاسب في المنشأة فقط بل يمتد إلى مراجع الحسابات الذي قد يتحمل دورا أكبر وأهم في هذه العملية من خلال التأكد من نظام الرقابة الداخلية المطبق فيما يتعلق بسياسات أمن المعلومات المحاسبية. و”لم تتغير أهداف نظم الرقابة الداخلية عبر الزمن المستقر في أدبيات المراجعة إلا أن سبل تحقيقها تتطور من خلال الزمن بهدف مواجهة التغيرات التي تطرأ في مجال الأعمال بوجه عام ونظم المعلومات المحاسبية بوجه خاص”.
المعالجة المحاسبية لتكاليف الإدارة الأمنية.
بالنظر إلى الواقع العملي ، يقوم المدراء في الشركات بالتركيز على التكاليف المرتبطة بأنظمة وخطط الأمن المتخذة في المنشأة أكثر من عوائدها . ويتم ذلك بتحديد كافة التكاليف المرتبطة بالإجراءات الأمنية المتخذة ومن ثم اتخاذ قرار تطبيقها باعتبار تأثير هذه التكاليف على نتيجة النشاط كالاستثمارات تماما بحيث يوازن بين مستوى الخطر والعائد منه فكلما قل الخطر التي تتعرض له تلك المعلومات المحاسبية ( باتخاذ إجراءات أمنية صارمة ذات مستوى عالي) يتطلب ذلك زيادة التكاليف والذي يؤثر سلبا على ربحية المنشأة أو نتيجة نشاطها في حين تخفيض درجة الأمن والتقليل من إجراءاته المتخذة في المنشأة أي زيادة الخطر من شأنه أن يعظم ربحية الشركة من خلال تقليل تلك التكاليف ولكن في هذه الحالة من الممكن تحقق أحد تلك المخاطر وبالتالي ستكون الخسارة التي تتعرض لها المنشأة أكبر بكل تأكيد.
من جهة أخرى ، هناك نقطتان هامتان جدا تتعلق بالتكاليف المرتبطة بالأنظمة الأمنية وتتمثل في الاختلاف في موضع إدراج هذه التكاليف أثناء المعالجة المحاسبية وصعوبة قياسها . إن تكاليف أنظمة الحماية والأمن التي تتحملها المنشأة لا يمكن أن تدرج كاملة ضمن المصاريف الإدارية لها لأنها لا تتعلق بالإدارة فقط بل تمتد لتلمس أساليب التشغيل نفسها ولها تأثيرا مباشرا على إنتاجية الشركات والأهم من ذلك انه من الممكن اعتبارها مصاريف ذات منافع مستقبلية وفي هذه الحالة يجب إدراج هذه التكاليف في قائمة المركز المالي باعتبارها أصلا من أصول الشركة وليس ضمن التكاليف المدرجة في قائمة الدخل. ولا شك أن الشركات الالكترونية التي تهتم بأنظمة الأمن في التعامل مع عملائها وتتعمد الإعلان عن ذلك لمستهلكيها أي أنها تهدف في إجراءاتها الأمنية إلى إرضاء العملاء في الأساس فإنها تقوم بالنظر إلى تكاليف الإدارة الأمنية على أنها تكاليف تزيد من الجودة ومن ثم تختلف طريقة معالجتها المحاسبية لتلك التكاليف. من جهة أخرى ، فإنه في ظل غياب معايير قياس تكاليف الأمن ، هناك القليل مما تتمكن المنشأة من انجازه في هذا المجال بسبب مواجهتها لبعض صعوبات القياس التي تظهر في عدم القدرة على تحديد أي إجراءات الأمن التي ينبغي قياسها هل هي أنظمة التحكم، البرامج الرقابية، رواتب الموظفين المختصين وما هو الأساس المتبع في قياسها .
النتائج والتوصيات
يعتبر النظام المحاسبي للمنشآت نظاما مفتوحا يتأثر بالبيئة التي يعمل في محيطها ويؤثر عليها. وقد قام أحد الباحثين باستخدام عمل الخلية الحيوية في جسم الإنسان لوصف وتفسير عمل النظام المحاسبي . فلكل خلية حيوية وظيفة محددة تقوم بها لكنها تتفق عموما بالقيام باستقبال المدخل وتحويله ومن ثم تكوين المخرج والاستفادة منه وتكمن أهمية نجاح الخلية في أداء هذه الدورة الوظيفية في تأثيرها على جسم الإنسان ككل باعتباره البيئة الأوسع مجالا والتي تعمل في محيطها وليس العضو الذي يعمل فيه فقط وهذا بالضبط ما يمثله نظام المعلومات المحاسبية للمنشأة التجارية.
إن التعرف على المخاطر التي تهدد أمن الشركات هي البداية فقط ولا تكفي بالنسبة للمحاسب القانوني بل يجب عليه التعرف على كافة الإجراءات الضرورية واللازمة لمواجهة هذه المخاطر والتغلب عليها وكذلك الطرق المستخدمة للاسترجاع في حالة حدوث هذه المخاطر أو تحقق شيء منها وتطبيقها.
إن المتطلب الهام من النظام المحاسبي هو طريقة موثوقة للتعرف والتحقق من كل معالجة مالية أو أي تبادل مالي أو مستندي وعلى إجراءات نظام الرقابة الداخلية التحقق من صلاحية كل المعالجات المحاسبية. بالإضافة إلى ذلك فلا بد من المحافظة على وجود توثيق معقول لكل عملية تبادل الكتروني تحصل في نظام المعلومات المحاسبي. ومن هذا المنطلق فإن التبادلات التجارية الالكترونية تضيف عبئا جديدا ومهام أضافية على المحاسبين القانونيين ومراجعي الحسابات والمتعلقة بالتأكد من أن أي تسجيل أو معالجة محاسبية قد تمت من قبل الأفراد المسموح لهم بذلك وليس هناك أي أطراف أخرى دخيلة.
ومن وجهة نظر المستهلك فقد كان لزاما على الشركات الالكترونية البحث عن السبل التي تقلل من شأن المخاوف التي تعترض سبيل المتسوق الالكتروني وبالتالي تستطيع هي الاستمرار وإنماء أعمالها التجارية والوصول إلى أهدافها الاقتصادية. لذلك قامت العديد من الجهات بتوفير خدمات للشركات الالكترونية تتمثل في وضع معايير ومقاييس للعمل التجاري الالكتروني. وتختلف محاور هذه المعايير بحسب الجهة التي يصدر عنها المعياركالبنوك واتحادات المستهلكين وهيئات تقنية الحاسب وغيرها ومنها ما يتعلق بالمعاملات التجارية وكيفية إتمامها و فرض استخدام برامج حماية معينة ونظم أمان وشفرات الكترونية وغيرها من التقنيات المتعلقة بالحفاظ على السرية. أما المعايير الصادرة عن الجهات المحاسبية فإنها تركز على مصداقية الأعمال التجارية ونزاهتها وأمن المعلومات والبيانات وحمايتها والاهتمام بخصوصيتها.
وتقوم هذه الجهات بفحص الشركة الالكترونية المتقدمة بطلب الخدمة والتأكد من التزامها بتلك المعايير الصادرة. بعد ذلك تمنح هذه الشركات رموزا وشعارات يتم عرضها على صفحات الموقع الالكتروني للشركة والذي تدل على إتباع العمل التجاري الالكتروني لهذه المعايير. ويكون الشعار عادة دال على ارتباط العمل التجاري بطرف خارجي يقوم بتقييم أدائها ومدى إفصاحها عن سياساتها المختلفة وخاصة تلك التي تهم المستخدم ويطلق على هذه الخدمة “ختم الضمان” أو “ختم الثقة” Web Assurance Seals .
وباستعراض بعض الأمثلة الواقعية لهذه الأختام نجد منها ما يهتم بالخصوصية والأمن فقط مثل TRUSTe و Verisgn في حين تغطي BBB OnLine مسائل مصداقية واعتمادية وخصوصية العمل التجاري الالكتروني وتهتم WebTrust المقدم من الهيئة الامريكية للمحاسبين القانونيين ويمكن الحصول عليه من خلال مراجعي الحسابات القانونيين.
ـــــــــــــــــــــــــ ـــــــــــــــــ
المراجع العربية :
أحمد حلمي جمعة، عصام فهد العربيد ، زياد أحمد الزعبي ، نظم المعلومات المحاسبية – مدخل تطبيقي معاصر، دار المناهج للنشر والتوزيع، الطبعة الأولى 1423هـ – 2003م.
المراجع الأجنبية :
الكتب :
Kenneth C. Laudon and Jane P. Laudon, Management Information Systems, Printice Hall International, Inc. , sixth edition 2000.
John K. Halvey and Barbara M. Melby, Information Technology Outsourcing Transaction,2nd edition , John Wiley & Sons. INC.
Alan Calder, A Business Guide to Information Security, KOGAN PAGE, 2005.
Jonathan Reuvid, The Secure Online Business Handbook, KOGAN PAGE, third edition, 2005.
James A. Hall, Accounting Information Systems, South-Western Publishing Co., 4th edition, 2004.
البحوث والمقالات :
Raj Mehta, “Secure E-Business“, Information System Control Journal, Vol.1,2000.
Bennet Yee and J. D. Tygar , “Secure Coprocessors in Electronic Commerce Applications”, 1st USENIX Workshop on Electronic Commerce, July 1995, pp. 155-170.
Linda Lee Larson andSteven D. Hall, “Website Certification : The Truste Alternative“, The CPA Journal, June 2000.
Moni Naor and Benny Pinkas, “Secure Accounting and Auditing on theWeb“.
Ritchard A. Caralli and William R. Wilson, “The challenges of Security Management“.
Ueli Maurer, “The Role of Cryptography in Database Security“, June 2004.
B. G’ateau, D. Mathevon, D. Khadroui, O. Boissier and E. Dubois, “Transformation a Secure eCommerce Application into a Multi-Agent based Solution for eContracting“.
Erica Mack, “Implementing a Secure Accounting Information System“.
GAO – USA General Accounting Office, Executive Guide – Information Security Management, May 1998.
Fritze Grupe – Stephen G. Kerr – William Kuechler and Nilesh Patel, “Understanding Digital Signatures“, The CPA Journal, June 2003.
Ueli Maurer, ” Intrinsic Limitations of Digital Signatures and How to Cope With Them”, Lecture Notes in Computer Science, vol. 2851, pp. 180-192, 2003.
Marcus D. Odom –Anand Kumar and Laura Saunders, “Web Assurance Seals : How and Why they Influence Consumers’ Decisions”, Journal of Information Systems, Vol.16 No. 2, Fall 2002, pp. 231-250.
Jack Miller and Rob Arning, “How Companies Can Benefit By Addressing Privacy Issues“, The CPA Journal, May 2003.
AICPA/CICA. “WebTrust Principles and Criteria for Business to Consumer Electronic Commerce“. October 15,1999 Version 2.0
Anna Noteberg. “Web Assurance Seals for an improved Electronic Commerce Environment“. A in European Communication Studies. University of Amsterdam. March 22,1999
“Electronic Commerce- An Introduction“. European Commission. Information Society General. 12 July 19
احمد الكري
موسوعة الاسلام والتنمية