Upload File

audit (1)

9
PROIECT AUDIT Vulnerabilități și amenințări asociate sistemelor informatice

Upload: ivan-maria

Post on 16-Nov-2015

212 views

Category:

Documents


0 download

Report

TRANSCRIPT

PROIECT AUDIT

Vulnerabiliti i ameninri asociate sistemelor informatice ROCA(IVAN).S.MARIA

STAGIAR CECCAR 2014

Vulnerabiliti i ameninri asociate sistemelor informatice O companie are nevoie de o evaluare corect a sistemelor IT pentru a avea o activitate continu i eficient. Tocmai de aceea, organizaiile ar trebui s apeleze la o soluie tot mai important i necesar n zilele noastre auditul IT. Scopul acestuia este de a determina ce vulnerabiliti are un sistem informatic, pentru a le putea elimina cu soluiile potrivite.Din pcate, un audit IT are loc foarte rar n Romnia, mai ales n sectorul aplicaiilor online. De asemenea, exist numeroase cazuri n care un cumprtor al unui business online nu tie de fapt ce a achiziionat, deoarece neglijeaz aspectul efecturii unui astfel de audit. Auditurile tehnice pentru aplicaii online pot include elemente precum securitatea aplicaiei, arhitectura aplicaiei, calitatea codului, dar i elemente ce in de atragerea clienilor pe o platform online: viteza de ncrcare, impactul asupra motoarelor de cutare sau uzabilitatea.Orice sistem informatic orict de performant ar fi prezintinevitabil vulnerabiliti.Vulnerabilitilereprezint orice caracteristici ale sistemului care l pot expune laameninri,cu alte cuvinte vulnerabilitile reprezintpunctele slabe ale sistemului.Ameninrilereprezint orice pericol potenial la care este expusun sistem constnd n: acces neautorizat, alterri sau distrugerea datelor,software-ului, resurselor hard sau de comunicaie etc. Ameninrileexprim frecvena producerii unor evenimente adverse poteniale, n timp ce riscurile exprim probabilitatea producerii ameninrilor.Principalele tipuri de ameninri ale unui sistem informatic al uneiorganizaii sunt:Aciuni neintenionate accidentecauzatedeneglijenauman,nerespectarea procedurilor,pregtire sau supravegherea insuficient a personalului. greseli neintenionate sau erori pierderi de date erori logice sisteme care nu raspund nevoilororganizatiei

Acte intenionate delapidare

dezastre naturale i politice incendiu sau cldura excesiv inundaii cutremure furtuni rzboiErori software i funcionridefectuoase ale hardware-ului eecuri (erori) hardware cderi ale sursei de curentsaufluctuaii ale tensiunii erorinedetectatentransmisiadatelorVulnerabilitile pot fi de natura diferit: Hardware - totalitatea componentelor (fizic) unui sistem informatic

Software - totalitatea componentelor (logic) unui sistem informaticVulnerabilitile hardware i softwarepot determina:

producereade erori n procesul prelucrrii datelor sau chiarimposibilitatea derulrii unor prelucrri alterarea i/sau distrugerea unor date sau fiiere avarierea unor componente hardware apariia unor bree de securitate n cadrul sistemului etc.Vulnerabilitile mediului de stocarepot determina: pierderi de date pierderide software.Acest lucruesteposibil fie ca urmare a distrugerii hard-disculuioperaional, fie prin distrugerea mediilor de stocare (dischete, CD-uri,stream-ere, etc) pe care sunt salvate copiile de siguran ale bazei de datei software-ul (sistemul de operare, aplicaii etc).Vulnerabiliti ale mediului de comunicaiepot determina spre exemplu: afectarea prelucrrilor n cadrul reelei locale; imposibilitateaderulriiunortranzaciion-linesau imposibilitatea utilizrii unor servicii n reeaua Internet bree de securitate n cadrul sistemului;extinderea dispozitivelor wireless, n lipsa unor msuri desecuritate adecvate, pot reprezenta puncte 'sensibile' n cadrulsistemului, riscul de interceptareadatelor sau de distorsionarea transmisiilor fiind mai ridicat.Vulnerabiliti umane:persoanele care administreaz sistemulprezint cea mai mare vulnerabilitate. Lor li se adaug operatorii iutilizatorii. Vulnerabilitile umane sunt determinate voluntar sauinvoluntar de activitatea derulat de fiecare persoanceutilizeazsistemul informatic, prin aciunile iniiate, aceste persoane pot afecta funcionalitatea sistemului, sigurana, disponibilitatea iconfidenialitatea datelor sau chiar sigurana sistemului n ansamblulsu.S nu uitm faptul c sondaje recente au evideniat faptul ca 80%din atacurile asupra sistemelor provin din interiorul companiei fiindiniiatede angajaisau colaboratori.Tot n vulnerabilitile umane cuprindem iincompetena managerial.Vulnerabiliti fizice,acestea fiind reprezentate de posibilitateaintruziunilor fizice n spaiile afectate serverelor, stocrii copiilor desiguran sau chiar a staiilor de lucru etc. scopul acestor intruziunifiind fie de sustragere a datelor sau echipamentelor fie de alterare adatelor i/sau programelor.Vulnerabiliti naturalereprezentate de: dezastre (incendii,inundaii,cutremure etc), ntreruperi ale alimentarii cu energie electric etc. Tehnologiileinformaionale mbuntesc activitatea decontrol intern,nspecial prin faptul c o serie de controale normale sunt nlocuite prin mecanisme de control informatic. n felul acesta se reduc erorile, n special cele legate de introducerea datelor ce urmeaz a fi procesate, dar i n domeniul prelucrrii propriu-zise. Desi tehnologiile informaionale pot ameliora controlul intern al entitilor, ele au un impact deosebit asupra riscului general al entitii.Tehnologia informaional genereaz riscuri specifice de care auditorul financiar trebuie sa tin seama. De altfel Declaratia de practica de audit nr. 1008'Evaluarea riscurilor i controlul intern Caracteristici si considerente CIS'(5) conine o serie de riscuri specifice mediului IT, o parte din ele fiind abordate i in cadrul auditului sistemelor informatice.Printre aceste riscuri amintim: dependena de capacitile de funcionare ale echipamentelor i programelor informatice reducerea implicrii factorului uman erori sistematice i erori accidentale acces neautorizat

separarea funciilor IT incompatibile

absena autorizrii tradiionale modificarea pistelor de audit lipsa dovezilor tranzaciilor n acelai timp pentru mediile CIS exist trei declaraii de practic de audit care precizeaz caracteristicile auditului financiar pentru Mediu, microcalculatoare (DPA 1001), reele LAN (DPA 1002) i Sisteme ce utilizeaz bazele de date (DPA 1003).La toate acestea se adaug Standardul 401 'Auditul ntr-un mediu computerizat'. Standardele de audit financiar-camera Auditorilor Financiari din Romnia Conform acestui standard auditorul financiar trebuie s ia n consideraie modul n care mediul CIS afecteaz auditul financiar.Obiectivul auditului financiar nu se modific ntr-un mediu CIS, dar utilizarea tehnologiei informaionale influeneaz informaiile n ceea ce privete: modul de stocare modul de procesare modul de comunicare

Auditorul financiar ar trebui sa aib solide cunotine de IT pentru a putea evalua modul n care mediul IT (CIS) va afecta activitatea desfurat n calitate de auditor financiar.n cadrul unor medii IT complexe, auditorul financiar poate apela la un expert extern echipei auditorului.

Acesta trebuie sa obin probe de audit adecvate i suficiente referitoare la sistemul IT pentru a susine activitatea auditorului financiar.Dei obiectivele auditului financiar nu se modific, activitatea auditorului financiar este puternic influenat de mediul tehnologiei informaionale (IT) din cadrul entitii auditate.n aceste condiii auditul sistemului informatic nu va reprezenta un scop n sine la nivelul entitii ci va constitui elementul de baz n cadrul activitii auditorului financiar, att n etapa de planificare a auditului, ct i n perioada de desfurare a procedurilor de audit.Auditul sistemelor informatice este activitatea prin careauditoruln urma colectrii i evalurii unor probe specifice de audit, i exprim , opinia asupra moduluin caresistemul informatic permite atingerea obiectivelor strategice ale entitii n condiiile utilizrii eficiente a tuturor resurselor informatice'.Metodologia de audit, reprezint un set de proceduri destinate atingerii obiectivelor activitii de audit.Fazele generale ale unei activiti de audit al sistemelor informatice sunt: determinarea subiectului ce va fi auditat obiectivul auditului

planificarea auditului

pregatirea in vederea culegerii probelor de audit

verificarea si testarea evaluarea rezultatelor verificarilor si testelor; ntocmirea raportului de audit.

n cadrul desfurrii activitii de audit principalele categorii de activiti se refer la: verificarea managementului sistemului informatic verificarea securitii fizice i a modului de desfurare a activitilor sistemului informatic verificarea aplicaiilor informatice i n special al procedurilor decontrolautomat,alvalidrilor,alprelucrrilor datelor i distribuiei rezultatelor verificarea securitii reelelor de calculatoare - drepturi de acces, firewall, antivirus, etc. verificarea planurilor i procedurilor de recuperare n caz de dezastre. Toate activitile desfurate deauditorul sistemului informatic, raportul acestuia asupra eficienei, calitii i siguranei n exploatare a sistemului informatic sunt utilizate de ctre auditul financiar n fundamentarea planului su de audit i n precizarea procedurilor de audit cele mai adecvate condiiilor concrete de desfurare a auditului.n concluzie, ncredereaauditului financiar n sistemul informatical entitii auditatei activitatea de audit a acestuia se bazeaz ntr-o foarte mare msura pe raportul auditorului sistemului informatic sau pe activitile de control ale sistemului informatic, activiti desfurate n cadrul auditului intern. n cazul n care sistemul informatic nu a trecut testul auditrii, apar serioase semne de ntrebare legate de managementul companiei de software care a dezvoltat un astfel de sistem. Trebuie s apar schimbri majore la nivelul managementului i la nivelul echipelor de dezvoltare. Trebuie adoptate tehnici de analiz, proiectare, programe testare, implementare, mentenan, eficiente care s genereze fluxuri de dezvoltare compatibile.Auditul presupune un mod activ de corectare a produsului, variante de lansare n uz curent dac acest lucru se impune. Auditul este necesar pentru orice sistem informatic. Este normal ca un sistem informatic neauditat, cnd genereaz erori, compania care utilizeaz s plteasc toate daunele. Lipsa auditului nseamn riscuri asumate. Riscurile nseamn costuri i costurile trebuie suportate de ctre cel care i-a asumat riscurile la un nivel care depete limite raionale.Auditul este un proces opional pn la un punct. n condiiile software public, n care ceteanul dezvolt procese de prelucrare n interes propriu, auditul devine o necesitate, devenind obligatoriu. Obligativitatea este o msur de autoconservare a companiei care utilizeaz software public pentru a derula servicii spre ceteni cu resurse proprii pentru a satisface cerine ale cetenilor. O astfel de organizaie nu trebuie s rite. Auditul nseamn transfer de ncredere i meninerea riscurilor la niveluri suportabile cu asigurarea unui nivel bun al profitabilitii.

Auditul trebuie privit ca o investiie suplimentar. Compania de software care dezvolt un sistem informatic i deruleaz procedee de audit creeaz premisele autoproteciei fa de riscurile generatoare de cheltuieli ce depesc potenialul companiei.Se creeaz o nou atitudine fa de auditul sistemelor informatice, fiind considerat altceva dect o activitate impus sau un ru necesar, transformndu-se n singura modalitate prin care se obin garanii reale asupra calitii sistemului informatic, pe care utilizatorii le percep n timp.Odat implementat, un sistem informatic este obligatoriu s fie auditat periodic pentru a se asigura c ndeplinete toate sarcinile cerute la cel mai ridicat grad posibil de eficien i eficacitate. Creterea organizaiei, creterea volumului afacerilor, schimbrile n mediul afacerilor, schimbrile tehnologice i noile cerine de informaii toate plaseaz o cerere crescnd asupra sistemului informatic existent i adeseori impun modificarea sau extinderea acestuia pe baze ad-hoc.

Exemple ale unui audit de SI aflat n funciune:

reevaluarea cerinelor de informaii; verificarea modificrilor propuse la proiectrile de baz existente; investigarea oportunitii noilor tehnologii;

mbuntirea procedurilor de operare.

Din practic s-a constatat necesitatea auditrii unui sistem informatic odat la trei ani sau ori de cte ori schimbrile aprute o impun.

Bibliografiewww.itzone.ro www.networksecurity.ro/audit_vuln.htmhttp://www.scritub.com/management/marketing/Analiza-riscului-intrun-mediu- 1517181916.php


 · privind buna reputatie a stagiarilor în activitatea de audit financiar, a auditorilor financiari a firmelor de audit Capitolul I. Dispozitii generale Art. 1 (1) Prezentele norme

REGULI PRIVIND CERTIFICAREA, SUPRAVEGHEREA … Reguli privind certificarea, supravegherea si... · 12. audit de certificare iniȚialĂ – etapa 1 10 13. audit de certificare iniȚialĂ

Curs Audit Ssm 1

AUDIT Aptitudini

Raport Audit Financiar Uatc 1 Decembrie, Ilfov, 4505588

AL MINISTERULUI TEHNOLOGIEI INFORMAŢIEI ŞI … · Serviciul control intern şi audit (SCIA) 1 Asigurarea activităţii de control şi audit intern în cadrul întreprinderilor din

Curs Audit Fin[1]

Curs 1-4 Audit

Audit Alfabetic

Audit- Proba Orala an 3, Sem 1

Audit SSM AUDIT

1 | Page AUDIT STANDARDUL INTERNAŢIONAL DE AUDIT 240

Isqc 1 Si Isa 220 Controlul Calitatii in Audit

1. CONCEPTUL DE AUDIT - forestierbistrita.wikispaces.comCALITATII.pdf · standarde şi specificaţii tehnice, politica firmei în domeniul calităţii. ovezile de audit reprezintă

Teste Grila Audit Var Finala Cu Rezolvari 1

Suport Curs Audit Intern ID 1 2015

SINTEZE – CURS AUDIT Lect univ dr Deaconu Petre 1 ... · 1 SINTEZE – CURS AUDIT Lect univ dr Deaconu Petre 1.CONCEPTELE DE AUDIT FINANCIAR ŞI AUDIT INTERN 1.1.Conceptul de audit

Norme audit intern de audit intern inclusiv... · 2 Art. 3 (1) Activitatea de audit intern poate fi organizată într-un compartiment distinct, în structura organizatorică a entităţii

audit financiar-plan de audit

Audit Financiar

72672387 audit-grilele-rezolvate-1

AUTORITATEA AERONAUTICĂ CIvILĂ ROMÂNĂ ROMAAN CAA · Anexa 1 Model plan de audit A1-1 Anexa 2 Fisa constatărilor preliminare (FCP) A2-1 Anexa 3 Model raport de audit A3-1 Anexa

Aspecte Financiare - Audit Proiecte Europene (1)

RAPORT PRIVIND ACTIVITATEA DE AUDIT PUBLIC INTERN … de activitate audit 2010.pdf · 2 1. INTRODUCERE 1.1.Scopul raportului este prezentarea activitatii de audit intern din cadrul

audit intern

Soluti Audit Stagiari Ceccar Aprilie 2011 Venedict Dumitru 201-305[1]

Audit Intern Varianta 1+2

SPECIALIZAREA: AUDIT FINANCIAR CONTABIL · PDF fileSPECIALIZAREA: CONTABILITATE ŞI AUDIT ÎN INSTITUŢIILE PUBLICE COMISIA: 1 ... PENTRU EXAMENUL DE DISERTATIE Nr. crt. Numele şi

p37 Planning the Audit (1)

Cap 1 - Carte-Audit Financiar-contabil Definirea Rolul

Capitolul 1 Audit - Alba Iulia 3.pdf · Capitolul 1 37 Strategia de Dezvoltare Primãria Municipiului Alba Iulia | martie 2005 Capitolul 1 Audit TIMIS CARAS-SEVERIN HUNEDOARA GORJ

1. PROCEDURI AUDIT FINANCIAR cu recomand CSPAAS incluse-b8e9.pdf

Curs Pentru - Control Intern Si Audit Intern[1]

rplpstejarul.rorplpstejarul.ro/content/uploads/Raport-de-audit-situatii-financiare-2018-1.pdfRaport de audit Asupra situatiilor financiare aferente anului 2018 ale REGIEI PUBLICE LOCALE

Grile Audit Cu Raspunsuri 1