Bài giảng Hệ thống thông tin kế toán: Chapter 3

Vũ Quốc Thông 10/18/2014

HO CHI MINH CITY OPEN UNIVERSITY ACCOUNTING – AUDITING FACULTY ACCOUNTING INFORMATION SYSTEM

INFORMATION SYSTEM CONTROL FOR SYSTEM RELIABILITY

Chapter 3

Learning Objectives

 Describe the framework for IS control: COBIT framework

 Explain the factors that influence information systems (IS)

reliability.

 Apply control functions (preventive, detective, and

corrective controls) to provide reasonable assurance for an AIS

3-2

Lecturer: Vũ Quốc Thông

Risks on CIS environment

Vũ Quốc Thông 10/18/2014

 Group of student – identify (potential) risks on

3-3

Risks on CIS environment (cont.)

computerized information system (CIS) environment?  Risk 1…  Risk 2…  Risk 3…  …

3-4

 Information System model…

Risks on CIS environment (cont.)

Vũ Quốc Thông 10/18/2014

 Please identify risks can be occur on each phase?

Phase

Risk identification

Data Collection

- Dữ liệu dễ bị thay đổi trước khi được nhập vào hệ thống. - Dữ liệu không chính xác, không đầy đủ sẽ không đảm bảo được chất lượng thông tin (GIGO: Garbage In Garbage Out).

Data Processing and Storage

- Gian lận về chương trình phần mềm: thay đổi chương trình cho phép truy cập và thao tác không hợp lệ đối với dữ liệu; phá hủy chương trình hệ thống bằng Virus. - Gian lận về hoạt động: sử dụng nguồn lực tin học sai mục đích. VD. sử dụng máy tính chứa dữ liệu công ty cho các mục đích cá nhân… - Thay đổi, xóa, phá hủy và lấy cắp các tập tin dữ liệu lưu trên hệ thống.

Information Generation

8-5

-Lấy cắp, chuyển thông tin đến sai đối tượng, sử dụng thông tin với mục đích không đúng. - Các hành động tìm kiếm thông tin đã xóa trong thùng rác (Trash, Recycle Bin) của máy tính được dùng để kết xuất thông tin.

The framework for IS control: COBIT framework

3-6

The framework for IS control

Committee of Sponsoring Organizations

coso

COBIT Control Objectives for Information

and Related Technology

3-7

The framework for IS control

3-8

Vũ Quốc Thông 10/18/2014

The framework for IS control

Vũ Quốc Thông 10/18/2014

3-9

The framework for IS control

Refer: document COBIT_4.1.pdf

 Business requirements  IT resources  IT processes

3-10

 COBIT framework focus on 03 main points:

The framework for IS control

Vũ Quốc Thông 10/18/2014

 COBIT framework – IT processes

3-11

Refer: document COBIT_4.1.pdf page 12, 13

Hoạch định và tổ chức (plan and organise)

 Thiết lập tầm nhìn chiến lược đối với ứng dụng CNTT

 Phát triển chiến thuật hoạch định, liên lạc và quản lý việc

thực hiện theo tầm nhìn chiến lược

3-12

Vũ Quốc Thông 10/18/2014

Mua sắm và triển khai (acquire and implement)

 Nhận diện những giải pháp khả thi

 Phát triển hoặc/và mua sắm các giải pháp CNTT

 Tích hợp các giải pháp CNTT vào các quy trình hoạt

động – có thể tùy chỉnh (customize)

 Quản lý đối với những quy trình CNTT hiện hành/đã triển

khai

3-13

Chuyển giao và hỗ trợ (deliver and support)

 Chuyển giao các dịch vụ CNTT cần thiết

 Đảm bảo dịch vụ an toàn và liên tục

 Cung cấp các dịch vụ hỗ trợ

Giám sát và đánh giá (monitor and evaluate)

 Giám sát và đánh giá các tác vụ thực hiện trong quy trình

trên hệ thống

3-14

Factors that influence information systems reliability

3-15

Steps in an IS System Attack

3-16

Vũ Quốc Thông 10/18/2014

Management’s Role in IS Security

 Create security aware culture

 Assess risk, select risk response

 Develop and communicate security:

 Plans, policies, and procedures

 Acquire and deploy IT security resources

 Monitor and evaluate effectiveness

3-17

Vũ Quốc Thông 10/18/2014

Apply control functions

3-18

Mitigate Risk of IS Attack

Vũ Quốc Thông 10/18/2014

 Preventive Control

 Corrective Control

3-19

Preventive Control

 Detective Control

 User access controls (authentication and authorization)

 Training

 Physical access controls (locks, guards, etc.)

systems, etc.)

 Network access controls (firewalls, intrusion prevention

3-20

 Device and software hardening controls (configuration options)

Vũ Quốc Thông 10/18/2014

Authentication vs. Authorization  Authentication—verifies who a person is

1. Something person knows 2. Something person has 3. Some biometric characteristic 4. Combination of all three

3-21

 Authorization—determines what a person can access

Network Access Control

 Connects an organization’s information system to the

 Border router (gateway definition)

Internet

 Firewall

 Software or hardware used to filter information

 Intrusion Prevention Systems (IPS)

3-22

 Monitors patterns in the traffic flow, rather than only and individual packets, identify to inspecting automatically block attacks

Device and Software Hardening (Internal Defense)

 End-Point Configuration

 Disable unnecessary features that may be vulnerable to

attack on:

 Servers, printers, workstations, USB gate

 User Account Management

 Software Design

 Programmers must be trained to treat all input from external

users as untrustworthy and to carefully check it before performing further actions.

3-23

Detective Controls

Vũ Quốc Thông 10/18/2014

 Log Analysis

 Process of examining logs to identify evidence of possible attacks

 Intrusion Detection

 Sensors and a central monitoring unit that create logs of network traffic that was permitted to pass the firewall and then analyze those logs for signs of attempted or successful intrusions

 Managerial Reports

3-24

 Security Testing

Corrective Controls

Vũ Quốc Thông 10/18/2014

 Computer Incident Response Team

 Chief Information Security Officer (CISO)

 Independent information security responsibility for assigned to someone at an appropriate senior level

 Patch Management

 Fix known vulnerabilities by installing the latest updates

3-25

Computer Incident Response Team

 Security programs  Operating systems  Applications programs

 Containment of the problem

 Recognize that a problem exists

 Recovery (Backup / Restore mechanism)

3-26

 Follow-up

New Considerations

 Risks

Vũ Quốc Thông 10/18/2014

 Increased exposure if

 Multiple systems are

breach occurs

run on one computer

 Reduced

 Virtualization

 Remotely accessed

authentication standards  Opportunities

resources  Software

applications  Data storage  Hardware

 Implementing strong access controls in the cloud or over the server that hosts a virtual network provides good security over all the systems contained therein

3-27