Kế toán, kiểm toán - Chapter 3: Learning objectives

Vũ Quốc Thông 10/18/2014 1 Chapter 3 INFORMATION SYSTEM CONTROL FOR SYSTEM RELIABILITY HO CHI MINH CITY OPEN UNIVERSITY ACCOUNTING – AUDITING FACULTY ACCOUNTING INFORMATION SYSTEM Lecturer: Vũ Quốc Thông Learning Objectives Describe the framework for IS control: COBIT framework Explain the factors that influence information systems (IS) reliability. Apply control functions (preventive, detective, and corrective controls) to provide reasonable assurance for an AIS 3-2 Vũ Quốc Thông 10/18/2014 2 Risks on CIS environment  Group of student – identify (potential) risks on computerized information system (CIS) environment?  Risk 1  Risk 2  Risk 3  3-3 Risks on CIS environment (cont.)  Information System model 3-4 Vũ Quốc Thông 10/18/2014 3 Risks on CIS environment (cont.)  Please identify risks can be occur on each phase? 8-5 Phase Risk identification Data Collection - Dữ liệu dễ bị thay đổi trước khi được nhập vào hệ thống. - Dữ liệu không chính xác, không đầy đủ sẽ không đảm bảo được chất lượng thông tin (GIGO: Garbage In Garbage Out). Data Processing and Storage - Gian lận về chương trình phần mềm: thay đổi chương trình cho phép truy cập và thao tác không hợp lệ đối với dữ liệu; phá hủy chương trình hệ thống bằng Virus. - Gian lận về hoạt động: sử dụng nguồn lực tin học sai mục đích. VD. sử dụng máy tính chứa dữ liệu công ty cho các mục đích cá nhân - Thay đổi, xóa, phá hủy và lấy cắp các tập tin dữ liệu lưu trên hệ thống. Information Generation -Lấy cắp, chuyển thông tin đến sai đối tượng, sử dụng thông tin với mục đích không đúng. - Các hành động tìm kiếm thông tin đã xóa trong thùng rác (Trash, Recycle Bin) của máy tính được dùng để kết xuất thông tin. The framework for IS control: COBIT framework 3-6 Vũ Quốc Thông 10/18/2014 4 The framework for IS control 3-7 Committee of Sponsoring Organizationscoso COBIT Control Objectives for Information and Related Technology The framework for IS control 3-8 Vũ Quốc Thông 10/18/2014 5 The framework for IS control 3-9 Refer: document COBIT_4.1.pdf The framework for IS control 3-10  COBIT framework focus on 03 main points:  Business requirements  IT resources  IT processes Vũ Quốc Thông 10/18/2014 6 The framework for IS control 3-11  COBIT framework – IT processes Refer: document COBIT_4.1.pdf page 12, 13 Hoạch định và tổ chức (plan and organise) Thiết lập tầm nhìn chiến lược đối với ứng dụng CNTT Phát triển chiến thuật hoạch định, liên lạc và quản lý việc thực hiện theo tầm nhìn chiến lược 3-12 Vũ Quốc Thông 10/18/2014 7 Mua sắm và triển khai (acquire and implement) Nhận diện những giải pháp khả thi Phát triển hoặc/và mua sắm các giải pháp CNTT Tích hợp các giải pháp CNTT vào các quy trình hoạt động – có thể tùy chỉnh (customize) Quản lý đối với những quy trình CNTT hiện hành/đã triển khai 3-13 Chuyển giao và hỗ trợ (deliver and support) Chuyển giao các dịch vụ CNTT cần thiết Đảm bảo dịch vụ an toàn và liên tục Cung cấp các dịch vụ hỗ trợ Giám sát và đánh giá (monitor and evaluate) Giám sát và đánh giá các tác vụ thực hiện trong quy trình trên hệ thống 3-14 Vũ Quốc Thông 10/18/2014 8 Factors that influence information systems reliability 3-15 Steps in an IS System Attack 3-16 Vũ Quốc Thông 10/18/2014 9 Management’s Role in IS Security  Create security aware culture  Assess risk, select risk response  Develop and communicate security:  Plans, policies, and procedures  Acquire and deploy IT security resources  Monitor and evaluate effectiveness 3-17 Apply control functions 3-18 Vũ Quốc Thông 10/18/2014 10 Mitigate Risk of IS Attack  Preventive Control  Detective Control  Corrective Control 3-19 Preventive Control  Training  User access controls (authentication and authorization)  Physical access controls (locks, guards, etc.)  Network access controls (firewalls, intrusion prevention systems, etc.)  Device and software hardening controls (configuration options) 3-20 Vũ Quốc Thông 10/18/2014 11 Authentication vs. Authorization  Authentication—verifies who a person is 1. Something person knows 2. Something person has 3. Some biometric characteristic 4. Combination of all three  Authorization—determines what a person can access 3-21 Network Access Control  Border router (gateway definition)  Connects an organization’s information system to the Internet  Firewall  Software or hardware used to filter information  Intrusion Prevention Systems (IPS) Monitors patterns in the traffic flow, rather than only inspecting individual packets, to identify and automatically block attacks 3-22 Vũ Quốc Thông 10/18/2014 12 Device and Software Hardening (Internal Defense)  End-Point Configuration  Disable unnecessary features that may be vulnerable to attack on:  Servers, printers, workstations, USB gate  User Account Management  Software Design  Programmers must be trained to treat all input from external users as untrustworthy and to carefully check it before performing further actions. 3-23 Detective Controls  Log Analysis  Process of examining logs to identify evidence of possible attacks  Intrusion Detection  Sensors and a central monitoring unit that create logs of network traffic that was permitted to pass the firewall and then analyze those logs for signs of attempted or successful intrusions Managerial Reports  Security Testing 3-24 Vũ Quốc Thông 10/18/2014 13 Corrective Controls  Computer Incident Response Team  Chief Information Security Officer (CISO)  Independent responsibility for information security assigned to someone at an appropriate senior level  Patch Management  Fix known vulnerabilities by installing the latest updates  Security programs  Operating systems  Applications programs 3-25 Computer Incident Response Team  Recognize that a problem exists  Containment of the problem  Recovery (Backup / Restore mechanism)  Follow-up 3-26 Vũ Quốc Thông 10/18/2014 14 New Considerations  Virtualization  Multiple systems are run on one computer Cloud Computing  Remotely accessed resources  Software applications  Data storage  Hardware 3-27  Risks  Increased exposure if breach occurs  Reduced authentication standards  Opportunities  Implementing strong access controls in the cloud or over the server that hosts a virtual network provides good security over all the systems contained therein More on reading and practice  Reading on textbook  Chapter 7 (p. 206 – 207)  Chapter 8 (p. 245 – 260) Doing homework on paper  Discussion questions  Question 8.4 and 8.6 (p. 264) Problem solving  Problem 8.4 (p. 265, 266)  Chapter quiz (focus on relevant parts of the lecture)  Quiz of chapter 8 (p. 262, 263) 3-28