Sicurezza e controllo del sistema

Audit di sistema

È un'indagine per esaminare le prestazioni di un sistema operativo. Gli obiettivi della conduzione di un audit di sistema sono i seguenti:

  • Per confrontare le prestazioni effettive e pianificate.

  • Verificare che gli obiettivi di sistema dichiarati siano ancora validi nell'ambiente attuale.

  • Valutare il raggiungimento degli obiettivi dichiarati.

  • Per garantire l'affidabilità delle informazioni finanziarie e di altro tipo basate su computer.

  • Per garantire che tutti i record siano inclusi durante l'elaborazione.

  • Per garantire la protezione dalle frodi.

Audit dell'utilizzo del sistema informatico

I revisori del trattamento dei dati verificano l'utilizzo del sistema informatico al fine di controllarlo. L'auditor necessita dei dati di controllo ottenuti dal sistema informatico stesso.

Il revisore del sistema

Il ruolo dell'auditor inizia nella fase iniziale dello sviluppo del sistema in modo che il sistema risultante sia sicuro. Descrive un'idea di utilizzo del sistema che può essere registrato che aiuta nella pianificazione del carico e nella decisione sulle specifiche hardware e software. Fornisce un'indicazione di un uso saggio del sistema informatico e di un possibile uso improprio del sistema.

Prova di revisione

Una prova di controllo o un registro di controllo è un record di sicurezza che comprende chi ha avuto accesso a un sistema informatico e quali operazioni vengono eseguite durante un determinato periodo di tempo. Le prove di audit vengono utilizzate per tracciare dettagliatamente come sono cambiati i dati sul sistema.

Fornisce prove documentali di varie tecniche di controllo a cui è soggetta una transazione durante l'elaborazione. Le prove di audit non esistono indipendentemente. Sono effettuati come parte della contabilità per il recupero delle transazioni perse.

Metodi di audit

L'audit può essere eseguito in due modi diversi:

Auditing intorno al computer

  • Prendi input di esempio e applica manualmente le regole di elaborazione.
  • Confronta le uscite con le uscite del computer.

Auditing tramite il computer

  • Stabilire una sperimentazione di audit che consenta di esaminare i risultati intermedi selezionati.
  • I totali di controllo forniscono controlli intermedi.

Considerazioni sull'audit

Le considerazioni di audit esaminano i risultati dell'analisi utilizzando sia le narrazioni che i modelli per identificare i problemi causati da funzioni fuori posto, processi o funzioni divisi, flussi di dati interrotti, dati mancanti, elaborazione ridondante o incompleta e opportunità di automazione non affrontate.

Le attività in questa fase sono le seguenti:

  • Identificazione degli attuali problemi ambientali
  • Identificazione delle cause del problema
  • Individuazione di soluzioni alternative
  • Valutazione e analisi di fattibilità di ogni soluzione
  • Selezione e raccomandazione della soluzione più pratica e appropriata
  • Stima dei costi di progetto e analisi costi-benefici

Sicurezza

La sicurezza del sistema si riferisce alla protezione del sistema da furti, accesso e modifiche non autorizzati e danni accidentali o involontari. Nei sistemi informatici, la sicurezza implica la protezione di tutte le parti del sistema informatico che include dati, software e hardware. La sicurezza dei sistemi include la privacy e l'integrità del sistema.

  • System privacy si occupa di proteggere i sistemi delle persone dall'accesso e dall'utilizzo senza il permesso / la conoscenza delle persone interessate.

  • System integrity si occupa della qualità e dell'affidabilità dei dati grezzi e di quelli elaborati nel sistema.

Misure di controllo

Esistono varie misure di controllo che possono essere classificate come segue:

Backup

  • Backup regolare dei database giornaliero / settimanale a seconda della criticità temporale e delle dimensioni.

  • Backup incrementale a intervalli più brevi.

  • Copie di backup conservate in una posizione remota sicura, particolarmente necessaria per il ripristino di emergenza.

  • I sistemi duplicati vengono eseguiti e tutte le transazioni vengono replicate se si tratta di un sistema molto critico e non può tollerare alcuna interruzione prima dell'archiviazione su disco.

Controllo dell'accesso fisico alle strutture

  • Serrature fisiche e autenticazione biometrica. Ad esempio, impronte digitali
  • Carte d'identità o tessere d'ingresso controllate dal personale di sicurezza.
  • Identificazione di tutte le persone che leggono o modificano i dati e registrarli in un file.

Utilizzo del controllo logico o software

  • Sistema di password.
  • Crittografia di dati / programmi sensibili.
  • Formazione dei dipendenti sulla cura / gestione dei dati e sulla sicurezza.
  • Software antivirus e protezione firewall durante la connessione a Internet.

Analisi del rischio

Un rischio è la possibilità di perdere qualcosa di valore. L'analisi dei rischi inizia con la pianificazione di un sistema sicuro identificando la vulnerabilità del sistema e l'impatto di questo. Viene quindi elaborato il piano per gestire il rischio e far fronte al disastro. È fatto per accedere alla probabilità di possibili disastri e al loro costo.

L'analisi dei rischi è un lavoro di squadra di esperti con background diversi come prodotti chimici, errori umani e apparecchiature di processo.

I seguenti passaggi devono essere seguiti durante lo svolgimento dell'analisi dei rischi:

  • Identificazione di tutti i componenti del sistema informatico.

  • Identificazione di tutte le minacce e i pericoli che ciascuno dei componenti deve affrontare.

  • Quantificare i rischi, ovvero valutare la perdita nel caso in cui le minacce diventino realtà.

Analisi dei rischi - Fasi principali

Poiché i rischi o le minacce stanno cambiando e anche la perdita potenziale sta cambiando, la gestione del rischio dovrebbe essere eseguita periodicamente dai senior manager.

La gestione del rischio è un processo continuo e prevede i seguenti passaggi:

  • Individuazione delle misure di sicurezza.

  • Calcolo del costo di attuazione delle misure di sicurezza.

  • Confronto del costo delle misure di sicurezza con la perdita e la probabilità di minacce.

  • Selezione e implementazione delle misure di sicurezza.

  • Revisione dell'attuazione delle misure di sicurezza.