Kế toán, kiểm toán - Chapter 3: Learning objectives
End-Point Configuration
Disable unnecessary features that may be vulnerable to
attack on:
Servers, printers, workstations, USB gate
User Account Management
Software Design
Programmers must be trained to treat all input from external
users as untrustworthy and to carefully check it before
performing further actions.
14 trang |
Chia sẻ: thuychi20 | Lượt xem: 676 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Kế toán, kiểm toán - Chapter 3: Learning objectives, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Vũ Quốc Thông 10/18/2014
1
Chapter 3
INFORMATION SYSTEM CONTROL
FOR SYSTEM RELIABILITY
HO CHI MINH CITY OPEN UNIVERSITY
ACCOUNTING – AUDITING FACULTY
ACCOUNTING INFORMATION SYSTEM
Lecturer: Vũ Quốc Thông
Learning Objectives
Describe the framework for IS control: COBIT framework
Explain the factors that influence information systems (IS)
reliability.
Apply control functions (preventive, detective, and
corrective controls) to provide reasonable assurance for an
AIS
3-2
Vũ Quốc Thông 10/18/2014
2
Risks on CIS environment
Group of student – identify (potential) risks on
computerized information system (CIS) environment?
Risk 1
Risk 2
Risk 3
3-3
Risks on CIS environment (cont.)
Information System model
3-4
Vũ Quốc Thông 10/18/2014
3
Risks on CIS environment (cont.)
Please identify risks can be occur on each phase?
8-5
Phase Risk identification
Data
Collection
- Dữ liệu dễ bị thay đổi trước khi được nhập vào hệ thống.
- Dữ liệu không chính xác, không đầy đủ sẽ không đảm bảo được
chất lượng thông tin (GIGO: Garbage In Garbage Out).
Data
Processing
and Storage
- Gian lận về chương trình phần mềm: thay đổi chương trình cho
phép truy cập và thao tác không hợp lệ đối với dữ liệu; phá hủy
chương trình hệ thống bằng Virus.
- Gian lận về hoạt động: sử dụng nguồn lực tin học sai mục đích.
VD. sử dụng máy tính chứa dữ liệu công ty cho các mục đích cá
nhân
- Thay đổi, xóa, phá hủy và lấy cắp các tập tin dữ liệu lưu trên hệ
thống.
Information
Generation
-Lấy cắp, chuyển thông tin đến sai đối tượng, sử dụng thông tin với
mục đích không đúng.
- Các hành động tìm kiếm thông tin đã xóa trong thùng rác (Trash,
Recycle Bin) của máy tính được dùng để kết xuất thông tin.
The framework for IS control:
COBIT framework
3-6
Vũ Quốc Thông 10/18/2014
4
The framework for IS control
3-7
Committee of Sponsoring Organizationscoso
COBIT Control Objectives for Information
and Related Technology
The framework for IS control
3-8
Vũ Quốc Thông 10/18/2014
5
The framework for IS control
3-9
Refer: document COBIT_4.1.pdf
The framework for IS control
3-10
COBIT framework focus on 03 main points:
Business requirements
IT resources
IT processes
Vũ Quốc Thông 10/18/2014
6
The framework for IS control
3-11
COBIT framework – IT processes
Refer: document COBIT_4.1.pdf
page 12, 13
Hoạch định và tổ chức (plan and organise)
Thiết lập tầm nhìn chiến lược đối với ứng dụng CNTT
Phát triển chiến thuật hoạch định, liên lạc và quản lý việc
thực hiện theo tầm nhìn chiến lược
3-12
Vũ Quốc Thông 10/18/2014
7
Mua sắm và triển khai (acquire and implement)
Nhận diện những giải pháp khả thi
Phát triển hoặc/và mua sắm các giải pháp CNTT
Tích hợp các giải pháp CNTT vào các quy trình hoạt
động – có thể tùy chỉnh (customize)
Quản lý đối với những quy trình CNTT hiện hành/đã triển
khai
3-13
Chuyển giao và hỗ trợ (deliver and support)
Chuyển giao các dịch vụ CNTT cần thiết
Đảm bảo dịch vụ an toàn và liên tục
Cung cấp các dịch vụ hỗ trợ
Giám sát và đánh giá (monitor and evaluate)
Giám sát và đánh giá các tác vụ thực hiện trong quy trình
trên hệ thống
3-14
Vũ Quốc Thông 10/18/2014
8
Factors that influence information
systems reliability
3-15
Steps in an IS System Attack
3-16
Vũ Quốc Thông 10/18/2014
9
Management’s Role in IS Security
Create security aware culture
Assess risk, select risk response
Develop and communicate security:
Plans, policies, and procedures
Acquire and deploy IT security resources
Monitor and evaluate effectiveness
3-17
Apply control functions
3-18
Vũ Quốc Thông 10/18/2014
10
Mitigate Risk of IS Attack
Preventive Control
Detective Control
Corrective Control
3-19
Preventive Control
Training
User access controls (authentication and authorization)
Physical access controls (locks, guards, etc.)
Network access controls (firewalls, intrusion prevention
systems, etc.)
Device and software hardening controls (configuration
options)
3-20
Vũ Quốc Thông 10/18/2014
11
Authentication vs.
Authorization
Authentication—verifies who a person is
1. Something person knows
2. Something person has
3. Some biometric characteristic
4. Combination of all three
Authorization—determines what a person can access
3-21
Network Access Control
Border router (gateway definition)
Connects an organization’s information system to the
Internet
Firewall
Software or hardware used to filter information
Intrusion Prevention Systems (IPS)
Monitors patterns in the traffic flow, rather than only
inspecting individual packets, to identify and
automatically block attacks
3-22
Vũ Quốc Thông 10/18/2014
12
Device and Software
Hardening (Internal Defense)
End-Point Configuration
Disable unnecessary features that may be vulnerable to
attack on:
Servers, printers, workstations, USB gate
User Account Management
Software Design
Programmers must be trained to treat all input from external
users as untrustworthy and to carefully check it before
performing further actions.
3-23
Detective Controls
Log Analysis
Process of examining logs to identify evidence of
possible attacks
Intrusion Detection
Sensors and a central monitoring unit that create logs
of network traffic that was permitted to pass the
firewall and then analyze those logs for signs of
attempted or successful intrusions
Managerial Reports
Security Testing
3-24
Vũ Quốc Thông 10/18/2014
13
Corrective Controls
Computer Incident Response Team
Chief Information Security Officer (CISO)
Independent responsibility for information security
assigned to someone at an appropriate senior level
Patch Management
Fix known vulnerabilities by installing the latest updates
Security programs
Operating systems
Applications programs
3-25
Computer Incident Response Team
Recognize that a problem exists
Containment of the problem
Recovery (Backup / Restore mechanism)
Follow-up
3-26
Vũ Quốc Thông 10/18/2014
14
New Considerations
Virtualization
Multiple systems are
run on one computer
Cloud Computing
Remotely accessed
resources
Software
applications
Data storage
Hardware
3-27
Risks
Increased exposure if
breach occurs
Reduced
authentication
standards
Opportunities
Implementing strong
access controls in the
cloud or over the server
that hosts a virtual
network provides good
security over all the
systems contained therein
More on reading and practice
Reading on textbook
Chapter 7 (p. 206 – 207)
Chapter 8 (p. 245 – 260)
Doing homework on paper
Discussion questions
Question 8.4 and 8.6 (p. 264)
Problem solving
Problem 8.4 (p. 265, 266)
Chapter quiz (focus on relevant parts of the lecture)
Quiz of chapter 8 (p. 262, 263)
3-28
Các file đính kèm theo tài liệu này:
- chap03_ais_tv1_0_6615.pdf