1 / 54

Information System Auditing

Information System Auditing. Giovanni Grossi. Lucidi per il corso di Revisione Interna della Professoressa L. Francalancia A.A. 2010-2011. Information System Auditing (definizione).

corinne
Télécharger la présentation

Information System Auditing

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Information System Auditing Giovanni Grossi Lucidi per il corso di Revisione Interna della Professoressa L. Francalancia A.A. 2010-2011

  2. Information System Auditing (definizione) • Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: • affidabilità dei processi elaborativi • qualità delle informazioni prodotte • grado di sicurezza del sistema informativo • La funzione si concretizza: • partecipando preventivamente al disegno del SI • verificando il rispetto della normativa e la corretta esecuzione dei controlli • proponendo di continuo modifiche di miglioramento e di adeguamento alle procedure

  3. Information Systems Auditing • OBIETTIVI • Valutare il grado di sicurezza, affidabilità dell’organizzazione IT • Accertare sino a che punto i beni dell’azienda sono salvaguardati da perdite di qualsiasi genere • Accertare l’attendibilità dei dati prodotti • Valutare la qualità di esecuzione delle responsabilità assegnate • Valutare l’utilizzazione economica delle apparecchiature e l’efficienza operativa dell’IT VALUTARE IL GRADO DI AFFIDABILITA’ ED EFFICIENZA DEL CONTROLLO INTERNO IT

  4. Information Systems Auditing Obiettivi • una valutazione dell’efficacia e dell’efficienza del sistema di controllo interno nonché la verifica della regolare applicazione dei controlli stessi • che le informazioni generate dalle elaborazioni siano attendibili e rispecchino la realtà con un adeguato grado di tempestività, precisione e chiarezza per effetto di adeguati strumenti di controllo • che le elaborazioni e le altre attività IT siano svolte nel rispetto delle norme di legge e delle normative aziendali • che vi siano adeguate garanzie di continuità del servizio prestato dal settore IT GARANTIRE ALLA DIREZIONE AZIENDALE:

  5. Information Systems Auditing • OBIETTIVI SECONDARI • Verificare l’adeguatezza del tipo e del numero delle risorse esistenti • Verificare la congruità delle prestazioni delle risorse impiegate in funzione sia del costo sia delle esigenze • Verificare la validità deicriteri di scelta delle modalità di sviluppo e delle procedure di accettazione utilizzate nelle attività di sviluppo • Verificare la correttezza della rilevazione, imputazione ed eventuale ripartizione deicosti del settore IT

  6. Responsabilità dei controlli IT • L’Alta Direzione stabilisce le politiche e le direttive • Gli utenti specificano i controlli tipici delle applicazioni • La funzione sicurezza IT specifica i controlli tecnici • Gli analisti programmatori realizzano i controlli automatizzati nei sistemi • L’organizzazione sviluppa i controlli manuali, organizzativi e procedurali • Gli utenti ed il personale IT applicano i controlli L’AUDITOR IS VERIFICA L’EFFICACIA E L’OSSERVANZA DEI CONTROLLI FORNENDO ALL’ALTA DIREZIONE E ALL’IT OSSERVAZIONI E SUGGERIMENTI SULLO STATO DEI CONTROLLI IN ESSERE

  7. Il fondamento dell’affidabilità La sicurezza IT

  8. LA SICUREZZA IT ORIGINI E NATURA DEL PROBLEMA TECNICI PRINCIPALI FATTORI CHE NE DETERMINARONO IL SORGERE PSICOLOGICI

  9. LA SICUREZZA IT • FATTORI DI ORDINE TECNICO • ESTENSIONE E INTEGRAZIONE CRESCENTE PROCEDURE AUTOMATIZZATE • PROGRESSO TECNOLOGICO HW - SW (MULTI PGM - RT- DB) • NECESSITA’ DI ELABORARE SEMPRE PIU’ DATI CON GRANDE RAPIDITA’ • TENDENZA A INSTALLARE POTENZIALITA’ OPERATIVA IN LUOGHI REMOTI • UTILIZZO DIRETTO RISORSE DA PARTE DI UTENTI (NON TECNICI) • EVOLUZIONE SUPPORTI E TECNICHE DI LAVORO

  10. LA SICUREZZA IT • FATTORI DI ORDINE PSICOLOGICO • IMPORTANZA SEMPRE MAGGIORE PER IL RUOLO DETERMINANTE CHE L’INFORMATICA RIVESTE IN AZIENDA • CRESCENTE PESO ECONOMICO ASSOCIATO ALLE ATTIVITA’ AUTOMATIZZATE • RISERVATEZZA DELLE INFORMAZIONI GESTITE CON STRUMENTI SEMPRE PIU’ SOFISTICATI • MAGGIORE RESPONSABILIZZAZIONE DELL’UOMO IT • MATURAZIONE SENSIBILITA’ DELL’UOMO DELLA STRADA SULLE PROBLEMATICHE CONNESSE ALLE FRODI INFORMATICHE

  11. LA SICUREZZA IT – Generazione del Rischio… • Rischi di Origine Naturale e Accidentale • INCENDIO • RISCHI ELETTRICI • GUASTI NELLE TUBAZIONI DELL’ACQUA • ... (RISCHI GRAVI MA DI FREQUENZA BASSA) • Rischi di origine umana e dolosa • VANDALISMO • DISTRUZIONE VOLONTARIA • FRODE • Rischi originati dalle conseguenze dovute all’integrazione dell’Informatica in tutto il Sistema Informativo e produttivo dell’Impresa • Errori o Omissioni

  12. LA SICUREZZA IT • CARATTERISTICHE • GLOBALE • DEVE INTERESSARE TUTTE LE AREE PRODUTTIVE DELLA • AZIENDA • ECONOMICA • DEVE ESSERE VALUTATA DOPO UNA ATTENTA ANALISI DEI • COSTI/BENEFICI • CERTA • ESSERE UN DETERRENTE E’ UNO DEI SUOI MAGGIORI • VANTAGGI

  13. LA SICUREZZA IT • CARATTERISTICHE • DINAMICA • Deve mutare spesso poiché le misure di • protezione una volta conosciute divengono inutili • BILANCIATA • Le misure devono avere la medesima forza • (come una catena) • REATTIVA • Deve recepire in tempo utile i mutamenti esterni • VERTICISTICA • Deve essere un problema sentito dall’alta direzione

  14. LA SICUREZZA IT OBIETTIVI DA PERSEGUIRE • PROTEGGEREI SISTEMI FISICI CONTRO EVENTI NATURALI • ACCIDENTALI E SOCIO-POLITICI • ASSICURAREL’INTEGRITA’ E L’ACCURATEZZA DELLE • INFORMAZIONI GESTITE • GARANTIREUN ADEGUATO LIVELLO DI SERVIZIO ANCHE IN • PRESENZA DI ELEMENTI PERTURBATIVI • ASSICURARE LA RISERVATEZZA DEI DATI E DELLE INFORMAZIONI • NEI CONFRONTI DI POSSIBILI ATTENTATI ALLA “PRIVACY” E • ALLA PROTEZIONE DEI DATI DI PARTICOLARE RILEVANZA • AZIENDALE

  15. LA SICUREZZA IT • Gli obiettivi possono essere raggiunti utilizzando tecniche e metodologie adatte alle varie situazioni in cui viene a trovarsi l’IT aziendale • La scelta di soluzioni tecniche, metodologiche e organizzative, atte a fronteggiare eventi negativi per la sicurezza, deve essere vista come un elemento atto a riportare la componente di probabilità entro limiti accettabili per l’azienda • Il costo delle contromisure scelte dev’essere • inferiore a quello dei sistemi da proteggere

  16. Si deve realizzare e rendere operativa una struttura che LA SICUREZZA IT PRIMA CONSIDERAZIONE ASSICURI: • AFFIDABILITA’ DEI PROGRAMMI • QUALITA’ DELLE PROCEDURE • QUALITA’, REPEREBILITA’ E RISERVATEZZA DEI DATI • FUNZIONALITA’ DELLE RISORSE FISICHE E DEI MEZZI COME ?

  17. LA SICUREZZA IT SCELTA DELLE RELATIVE CONTROMISURE 3° DEFINIZIONE DEI LIVELLI DI PROTEZIONE 2° CLASSIFICAZIONE E CATALOGAZIONE DEI RISCHI 1° CLASSIFICAZIONE DEI DATI E DEI MEZZI

  18. LA SICUREZZA IT • PROCEDURE • PROGRAMMI • ARCHIVI • MEZZI CLASSIFICAZIONE Importanza ai fini della vita stessa dell’azienda • RILEVANZA • RISERVATEZZA Necessità per interesse diretto o di terzi Esposizione a rischio di manomissione • SENSITIVITA’

  19. LA SICUREZZA IT SECONDA CONSIDERAZIONE LA SICUREZZA INVESTE IL SISTEMA IT NELLE COMPONENTI: • HARDWARE • SOFTWARE • DATI • AMBIENTE SICUREZZA LOGICA FISICA

  20. LA SICUREZZA IT SICUREZZA FISICA AFFIDABILITA’ DELLO STRUMENTO INFORMATICO SICUREZZA LOGICA AFFIDABILITA’ DEL PRODOTTO INFORMATICO LA SICUREZZA FISICA E’ PROPEDEUTICA ALLA SICUREZZA LOGICA, L’APPROCCIO A QUEST’ULTIMA NON PUO’ AVVENIRE SE NON SULLA BASE DI UN BUON LIVELLO DI SICUREZZA FISICA

  21. LA SICUREZZA IT - MISURE DI PROTEZIONE • Guasti • Malfunzionamento HARDWARE affidata al costruttore C O N T R O L L O C O N T R O • Invalidità • Manomissione SOFTWARE APPL.VO affidata all’ideatore • Perdita • Alterazione • Distruzione • Accesso non autorizzato DATI affidata all’utilizzatore • Incendio • Allagamento • Eventi disastrosi • Dolo AMBIENTE affidata alla direzione

  22. Il Controllo Interno nell’Information Technology

  23. IL CONTROLLO INTERNO NELL’IT Rete L’AMBIENTE IT nel contesto attuale…..

  24. IL CONTROLLO INTERNO NELL’IT CONTESTO ATTUALE • INFORMAZIONI DISPONIBILI A TUTTI I SETTORI AZIENDALI • ELIMINAZIONE “QUASI” TOTALE DEI SUPPORTI CARTACEI • ESTENSIONE DELL’AUTOMATISMO ANCHE A DIVERSE FUNZIONI DI CONTROLLO

  25. L’AMBIENTE IT IL CONTROLLO INTERNO NELL’IT • Prima conseguenza • I PRINCIPI DI CONTROLLO UTILIZZATI PER I VARI SETTORI AZIENDALI • DEVONO ESSERE APPLICATI: • ALL’AREA IT • A TUTTE LE AREE DI ATTIVITA’ COPERTE DALL’IT • AI PUNTI DI CONTATTO DI QUESTE AREE CON QUELLE ANCORA GESTITE MANUALMENTE

  26. PRINCIPALI CAUSE DI VULNERABILITA’ IL CONTROLLO INTERNO NELL’IT IN FASE DI PRODUZIONE OUTPUT IN FASE DI ORIGINE E ASSUNZIONE INPUT IN FASE DI ELABORAZIONE Smarrimento di input Duplicazione di input Inaccuratezza del contenuto dell’input Incompletezza del contenuto dell’input Mancata registrazione di input Mancata autorizzazione di input Elaborazione a fronte di archivio errato Elaborazione di un’informazione a fronte di record errato Elaborazione incompleta Elaborazione errata Elaborazione non tempestiva Elaborazione non appropriata alle circostanze Perdita di un archivio Smarrimento di output Distribuzione errata Ritardo di consegna

  27. EFFETTI DELL’INFORMATICA SUL CONTROLLO INTERNO IL CONTROLLO INTERNO NELL’IT Seconda conseguenza I CONTROLLI DEVONO ESSERE INSERITI NEL SISTEMA SIN DALLA FASE DI PROGETTAZIONE

  28. IL CONTROLLO INTERNO NELL’IT ATTIVITA’ SOGGETTE AL CONTROLLO ANALISI, PROGRAMMAZIONE, MANUTENZIONE PROGETTAZIONE DEL SISTEMA DOCUMENTAZIONE INPUT/OUTPUT SALA DEL COMPUTER CONTROLLO INTERNO CONTROLLO INTERNO ARCHIVI IN LINEA LIBRERIE BIBLIOTECA, NASTRI E DISCHI UTENTI LA RETE PIANI DI EMERGENZA SICUREZZA FISICA PERSONALE

  29. IL CONTROLLO INTERNO NELL’IT DEVE ESISTERE UNA PRECISA SEPARAZIONE DI COMPITI ALL’INTERNO DELLA FUNZIONE IT OCCORRE CHE LE FUNZIONI DI PROGETTAZIONE E REALIZZAZIONE DEI SISTEMI APPLICATIVI SIANO SEPARATE DA QUELLE DI GESTIONE

  30. IL CONTROLLO NELL’ORGANIZZAZIONE

  31. GESTIONE IL CONTROLLO INTERNO NELL’AREA ORGANIZZAZIONE - Pianificazione dello sviluppo del CED (attività, componenti, priorità) - Controllo dello sviluppo (date part./arrivo, tempi stimati, risorse, punti di controllo) - Budget, centri di costo, criteri di accounting - Addestramento del personale - Supervisione e controllo del personale

  32. NORMATIVA IL CONTROLLO INTERNO NELL’AREA ORGANIZZAZIONE • Modalità di approvazione e divulgazione della normativa • - standard • - circolari • - disposizioni • Gestione documenti classificati • - trasmissione interna • - conservazione • - accesso • Formalizzazione del sistema di controllo interno • Normativa di sicurezza

  33. CONTROLLO E SICUREZZA IL CONTROLLO INTERNO NELL’AREA ORGANIZZAZIONE • Strategie e piani relativi • - Modalità di applicazione • Controlli e correttivi su comportamenti difformi dagli standard • Controlli su operazioni eseguite extra orario di lavoro normale • Norme di sicurezza • - Livello di aggiornamento • - Conoscenza da parte del personale interessato

  34. LA VALUTAZIONE GENERALE DEL SISTEMA DEI CONTROLLI

  35. LA VALUTAZIONE DEL SISTEMADI CONTROLLO INTERNO ORGANIZZAZIONE E AMMINISTRAZIONE SICUREZZA AMBIENTE FISICO NORME, METODOLOGIE E STANDARD GESTIONE OPERATIVA SISTEMI OPERATIVI SOFTWARE DI BASE DATA BASE TELECOMUNICAZIONI CONTROLLI GENERALI CONTROLLO INTERNO IT CONTROLLI SPECIFICI ORIGINE E IMMISSIONE DATI NEL SISTEMA TRASMISSIONE DATI ELABORAZIONE ARCHIVIAZIONE DATI EMISSIONE E DISTRIBUZIONE RISULTATI

  36. I CONTROLLI SUGLI ACCESSI FISICI

  37. CONTROLLI SUGLI ACCESSI FISICI ESPOSIZIONI Entrate non autorizzate Danni - furto apparecchiature Furto documenti - altri beni aziendali Vandalismo apparecchiature/beni Alterazioni apparecchiature

  38. CONTROLLI SUGLI ACCESSI FISICI POSSIBILI ESECUTORI Malcontenti Minacciati di azioni disciplinari Sentore di licenziamento - licenziati Scioperanti Dediti a gioco o droga Crisi finanziaria

  39. CONTROLLI SUGLI ACCESSI FISICI DA CONSIDERARE Ambiente elaborativo è protetto da accessi forzati Chiavi d’accesso sotto controllo PC chiusi a chiave o con dispositivi vari per evitare furto di schede, chip, PC

  40. CONTROLLI SUGLI ACCESSI FISICI AMBIENTI DA PROTEGGERE Area programmatori Sala computer Area console Archivio interno / remoto Magazzini Magazzini materiale scarto

  41. CONTROLLI SUGLI ACCESSI FISICI AMBIENTI DA PROTEGGERE Sala telecomunicazioni - pannelli e apparecchiature Linee dedicate / commutate Telefoni dedicati Reti locali

  42. FUNZIONI DI SICUREZZA LOGICA

  43. TECNICHE DI AUTENTICAZIONE Identificativo utente Password SICUREZZA LOGICA

  44. TECNICHE DI AUTENTICAZIONE da sole o in combinazione (2/3 fattori) 1) Qualcosa che si conosce (pin) 2) Qualcosa che si possiede (card) 3) Qualcosa che si è (scansione biometrica) SICUREZZA LOGICA

  45. REGOLE DI ACCESSO Solo lettura, interrogazione o copia Solo scrittura, creazione, aggiornamento, o cancellazione Solo esecuzione Combinazioni SICUREZZA LOGICA

  46. SICUREZZA LOGICA REGISTRAZIONE ACCESSI Revisione registrazioni ..proporzionale alla criticità delle informazioni Protezione log

  47. SICUREZZA LOGICA CAMPANELLI DI ALLARME Segnali o tendenze indicanti abuso di privilegi di accesso concentrazione degli accessi …..su una risorsa critica

  48. CAMPANELLI DI ALLARME Violazioni tentativi di accesso a risorse errori di digitazione password SICUREZZA LOGICA

  49. SICUREZZA LOGICA Occorre definire: Chi ha diritto all’accesso Chi è responsabile per fissare diritti/livelli accesso Quali approvazioni sono necessarie per l’accesso

  50. Appendice 1 Alcune idee per la costruzione e/o il rinnovo della funzione

More Related