|
EDP-auditing is:
Het beoordelen van en adviseren over de kwaliteitsbeheersing van de geautomatiseerde informatievoorziening (bestaande uit: informatiesystemen, automatiseringsorganisatie en technische infrastructuur.
Doel: verschaffen van vertrouwen of zekerheid in de informatievoorziening.
Ruimere interpretatie EDP auditing:
Evalueren van investeringsbeslissingen;
Beschermen van datacommunicatie en netwerken;
Begeleiden van systeemontwikkelingsprojecten;
Stroomlijnen van de (administratieve) informatievoorziening;
Adviseren over automatiseringscontracten.
De EDP auditor is onafhankelijk. Dit betekent dat hij bijvoorbeeld of een pakketselectie doet of een evaluatie van het gekozen pakket (Niet allebei).
EDP (Electronic Data Processing)
ICT: Informatie Communicatie Technologie
Applicatie Audit
Financieel systeem
1. normen opstellen waaraan voldoen
generiek: alle applicaties;
specifiek: bijv Financieel systeem;
bijv invoeren controles:
voorkomen dat gebruiker handmatig fouten maakt
bestaanbaarheid
autorisaties
functiescheiding
betrouwbaarheid
continuïteit
effectiviteit: ontwikkelen van systeem
efficiëncy
controleerbaarheid: achteraf kunnen controleren van acties
2. normen toetsen aan huidige situaties;
Kijken naar bewijsmateriaal (klopt de bedrijfsprocessen op papier met de praktijk):
interviews met gebruiker, ontwikkelaar, beheerder;
kijken naar huidige problemen met systeem, source codes, listings doorlopen, storingsadministratie
3. opschrijven en toetsen met management;
4. rapportage (advies rapport).
afweging: what to have - nice to have
Auditing: voorkomen is beter als genezen, beter tijdens ontwikkelen van een nieuw systeem normen aan te leveren.
Een EDP auditor kijkt naar fouten in het systeem, brengt oplossingen naar voren en hij geeft alleen een advies (programmeren (kloppen) doet hij niet, checken wel programma listing, zetten eventueel paramaters goed). Dit is een onafhankelijke instantie (mag dus niet persoonlijk voordeel halen uit een advies).
Internet, de organisatie en de beveiliging
Extra informatie (dit betekent dat wij niet alles hebben overgetikt maar de extra info die wij hebben opgevangen hieronder neer hebben gezet met desbetreffend paginanummer + kop)
Pagina 8 (vijfde bullet):
Actief gebruik - homepage, website, e-commerce
Dit gebeurt meestal via EDI (Electronic Data Interchange)
Pagina 9
Authenticatie
Voorbeelden: passwords, smartcards
Policy
Dit dient de bedrijfsdoelstellingen te realiseren (bijv: sturen van vertrouwelijke informatie door een medewerker naar buiten = niet te traceren).
Wat mag wel en wat mag niet bekeken worden door medewerkers. Oplossing is: Black/White listing, maar kost veel meer dan dat het oplevert.
Pagina 11 (vierde bullet)
Niet weerlegbaarheid
Aantonen dat iemand iets besteld heeft
Pagina 12
Beveiligingsbeheer
Dit gebeurt op hoog niveau
Operations
Voorbeeld: kabels, fysieke netwerk
Systeemprogrammering
installeren van software
Pagina 14
Bullet 1: Nieuws (leugens), virussen
Bullet 2: Vertrouwelijke informatie naar derden, beledigende taal met gebruik van bedrijfsnaam, etc...
Bullet 3: Mailen, internetten moet wel voor een doel dienen (in belang van het bedrijf)
Pagina 19 (tweede bullet)
Hoe werkt back orifice
werkt via het cliënt server model: bij de server zit het virus (zonder dat gebruiker het merkt) en cliënt is de hacker. Gebruiker heeft Back Orifice zelf, zonder te merken geïnstalleerd (employee monitoring).
IP adres kan verspreid worden naar andere Back Orifice hackers (kan ook naar niet BO hackers gestuurd worden, maar heeft niet zoveel zin omdat je BO moet hebben).
Back Orifice kan worden tegen gehouden worden door goede inrichting van je firewall
|
