Υπηρεσίες ιαβεβαίωσης, Ελέγχου και Ασφάλειας Συστηµάτων Πληροφορικής - Information Systems Assurance and Advisory Services (ISAAS)

Υπηρεσίες ιαβεβαίωσης, Ελέγχου και Ασφάλειας Συστηµάτων Πληροφορικής - Information Systems Assurance and Advisory Services (ISAAS) 1

Η Εξελικτική Πορεία της Πληροφορικής Μεγάλα συστήµατα (Mainframes) Μεσαία συστήµατα/μικροϋπολογιστές (Mid-range/ PCs) ίκτυα/ Εικονική Επεξεργασία (Networks/ Virtual computing) 2

Η εξελικτική πορεία της Πληροφορικής σε συνδυασµό µε υνάµεις της Αγοράς δηµιουργούν κινδύνους Migration to client/server Changes IT controls, needs Internet / e-commercee Increases need for security Mergers and Acquisitions IT alignment, Y2K, security Reengineering Improvements impact controls? More complex environment Increases need for experts New IT investments Prices allow midmarket investment Regulatory issues Creates new information needs Boards of Directors? s Needing independent advice

Ποιος ο Ρόλος των Υπηρεσιών ISAAS ; Οι τεχνολογικές εξελίξεις σε συνδυασµό µε τις δυνάµεις της αγοράς δηµιουργούν νέους κινδύνους και αυξάνουν την κρισιµότητα υφιστάµενων κινδύνων. Οι υπηρεσίες ISAAS βοηθούν τις εταιρίες-πελάτες µας να διαγνώσουν και αξιολογήσουν τους παραπάνω κινδύνους, να σχεδιάσουν και υλοποιήσουν κατάλληλα αντίµετρα και γενικά συµβάλλουν στην αποτελεσµατική διαχείριση των κινδύνων και την επίτευξη ενός πλαισίου ασφαλούς και αποτελεσµατικής πληροφοριακής υποστήριξης των επιχειρησιακών λειτουργιών. 4

Υπηρεσίες Ελέγχου, ιαβεβαίωσης και Ασφάλειας Συστηµάτων Πληροφορικής (ISAAS service lines) ISAAS Υπηρεσίες ιαβεβαίωσης (Assurance Services) Υποστήριξη Εσωτερικού και Εξωτερικού Ελέγχου Ανάπτυξη Τµήµατος / Λειτουργίας Ελέγχου Πληροφοριακών Συστηµάτων (οργάνωση, προδιαγραφή µεθοδολογίας και εγχειριδίου διαδικασιών, επιλογή και εκπαίδευση ελεγκτών, κ.ο.κ.) Αξιολόγηση Λειτουργίας και ιαδικασιών Πληροφορικής Υπηρεσίες ιερεύνησης / Ανάλυσης εδοµένων Ειδικές Αξιολογήσεις (Ετος 2000, EMU) Υπηρεσίες Ασφάλειας Πληροφοριών Ασφάλεια Συστηµάτων & ικτύων (π.χ. ΝΤ, Unix, MVS, Internet,...) Πολιτική - ιαδικασίες - Αρχιτεκτονική Ασφάλειας Οργανισµών Σχεδιασµός Αντιµετώπισης Εκτάκτων Περιστατικών / Συνέχειας Επιχειρησιακών Λειτουργιών οκιµασία Αντοχής σε Απόπειρες Εισβολών (Attack & Penetration) Αξιοπιστία και Ασφάλεια 5 Λύσεων Ηλεκτρονικού Εµπορίου Υπηρεσίες Ελέγχου και Προσαρµογής Εφαρµογών Ελεγχος Ανάπτυξης, Εγκατάστασης και Μετάπτωσης Εφαρµογών Εξασφάλιση αποτελεσµατικού πλαισίου ασφάλειας, ελεγκτικών διαδικασιών & αντιµέτρων κατά την υλοποίηση εφαρµογών (SAP, Oracle Fin., JDEdwards, )

Παράδειγµα 1 Επιχειρησιακό πρόβληµα: : Η διαφύλαξη της εµπιστευτικότητας ευαίσθητων επιχειρησιακών δεδοµένων που τηρούνται στο εταιρικό δίκτυο Λύση: Εκτέλεση δοκιµών εισβολής στο εταιρικό δίκτυο (attack and penetration analysis) Ανάπτυξη µηχανισµών αυθεντικοποίησης, ασφαλούς µετάδοσης δεδοµένων (κρυπτογράφησης) καθώς και καταγραφής γεγονότων και προσπαθειών πρόσβασης στο σύστηµα που επιχειρούνται εσωτερικά ή εξωτερικά του οργανισµού 6

Παράδειγµα 2 Επιχειρησιακό πρόβληµα: : Η εταιρεία-πελάτης µας θεωρεί ότι η ανάπτυξη εσωτερικής λειτουργίας Ελέγχου Π/Σ θα έχει µεγάλο κόστος, ιδιαίτερα εάν ληφθεί υπόψη η έλλειψη εξειδικευµένου προσωπικού Λύση: Πρόσληψη εξωτερικού συνεργάτη/συµβούλου για παροχή σχετικών υπηρεσιών Εκτίµηση ελεγκτικών αναγκών πληροφορικής από εξωτερικό συνεργάτη/σύµβουλο Υλοποίηση επιµέρους έργων ελέγχου Π/Σ 7

Παράδειγµα 3 Επιχειρησιακό πρόβληµα: : Η εταιρεία-πελάτης µας ως θυγατρική εταιρεία, υποχρεούται να συµµοργωθεί µε τις απαιτήσεις που έχει θέσει η µητρική εταιρεία αναφορικά µε το πλαίσιο ασφάλειας πληροφοριών Λύση: Πρόσληψη εξωτερικού συνεργάτη/συµβούλου για παροχή σχετικών υπηρεσιών Υλοποίηση επιµέρους έργων για την ικανοποίηση των απαιτήσεων της µητρικής εταιρείας 8

Παράδειγµα 4 Επιχειρησιακό πρόβληµα: : Πολυεθνική εταιρία εµφιάλωσης αναψυκτικών επιχειρεί µετάβαση στο ολοκληρωµένο σύστηµα SAP R/3 Λύση: Συνεργασία µε τις οµάδες υλοποίησης για τον ανασχεδιασµό των σηµείων ελέγχου των διαδικασιών Επισκόπηση της ασφάλειας πληροφοριών στο νέο περιβάλλον Επισκόπηση της διαχείρισης του έργου και της διαδικασίας µετάπτωσης των δεδοµένων στο νέο σύστηµα 9

Παράδειγµα 5 Επιχειρησιακό πρόβληµα: : Εταιρία µέσων ενηµέρωσης ζητάει πιστοποίηση της ακρίβειας του αριθµού των επιτυχηµένων προσπελάσεων στην ιστοσελίδα της, προκειµένου να πληρώσει τους διαφηµιστές της Λύση: Επισκόπηση ασφάλειας της σύνδεσης µε το διαδίκτυο Υπηρεσία AICPA - WebTrust, ή EY cyberspace.certification 10

Παράδειγµα 6 Επιχειρησιακό πρόβληµα: : Οργανισµός απαιτεί 100% διαθεσιµότητα στην client/server εφαρµογή µισθοδοσίας Λύση: Αποτίµηση επιπτώσεων στην επιχειρησιακή λειτουργία προκειµένου να καθοριστεί το µέγιστο επιτρεπόµενο χρονικό διάστηµα µη διαθεσιµότητας της εφαρµογής Ανάπτυξη σχεδίου επιχειρησιακής συνέχειας για την εφαρµογή µισθοδοσίας 11

Παράδειγµα 7 Επιχειρησιακό πρόβληµα: : Ενδείξεις οικονοµικής απάτης στο τµήµα προµηθειών της επιχείρησης Λύση: Χρήση εξειδικευµένων εργαλείων λογισµικού για την άντληση και ανάλυση στοιχείων από τα αρχεία της εφαρµογής προµηθειών, µε σκοπό την ανίχνευση ασυνήθιστων κινήσεων / δεδοµένων (unusual transactions / data patterns) 12

Εξειδικευµένα Στελέχη ISAAS (Ernst & Young Hellas - 30/06/xx) 12 11 10 9 8 7 6 5 4 3 2 1 0 12 5 2 1 1997 1998 1999 2000

Εξειδικευµένα Στελέχη ISAAS (Ernst & Young International) 3000 2800 2500 2000 1825 2000 1500 1500 1000 1997 1998 1999 2000 14

ISAAS - Απαιτούµενες εξιότητες (1) Πανεπιστηµιακή εκπαίδευση στο αντικείµενο της Πληροφορικής - ιοίκησης Επιχειρήσεων - Λογιστικής - Ελεγκτικής Μεταπτυχιακή εκπαίδευση/ εµπειρία σε Επιχειρησιακά Πληροφοριακά Συστήµατα, Στατιστική Ανάλυση Επιχειρησιακών εδοµένων, Ασφάλεια και Ελεγκτική Συστηµάτων Πληροφορικής Ευρύτητα πεδίου γνώσεων και ικανοτήτων (π.χ. διαχείριση συστηµάτων, σχεδίαση δικτύου, ανάλυση επιχειρησιακών αναγκών, διαµόρφωση στρατηγικής πληροφορικής), παρά σε βάθος εξειδίκευση σε συγκεκριµένο αντικείµενο (π.χ. C++ guru) 15

ISAAS - Απαιτούµενες εξιότητες (2) Ενδιαφέρον και ικανότητα για γρήγορη µάθηση - εµβάθυνση σε διαφορετικές γνωστικές περιοχές - προσαρµοστικότητα σε αλλαγές Συνδυασµός ελεγκτικής και συµβουλευτικής προσέγγισης και δεξιοτήτων ιάθεση για επένδυση σε γνώσεις και εµπειρία, επαγγελµατική πιστοποίηση (CISA), καριέρα. 16

Κίνδυνοι Πληροφοριακών Συστηµάτων / Νέων Τεχνολογιών 6η Ετήσια Παγκόσµια Ερευνα Ασφάλειας Πληροφοριών 6th Annual Global Information Security Survey (Ernst & Young, 1998) 35 Χώρες 4.312 Επιχειρήσεις (500 Τράπεζες & άλλοι Χρηµατοοικονοµικοί Οργανισµοί) 17

6th Annual Global Information Security Survey Γεωγραφική Κάλυψη 18

6th Annual Global Information Security Ευρήµατα- ιαπιστώσεις Survey Βελτιωµένη αντίληψη / κατανόηση των ζητηµάτων ασφαλείας από στελέχη Οργανισµών Νέοι πληροφοριακοί κίνδυνοι / απειλές Αύξηση στα συµπτώµατα παραβιάσεων / παρακάµψεων των µέτρων ασφάλειας Επέκταση δικτύων / υιοθέτηση νέων τεχνολογιών Αύξηση στα συµπτώµατα κατάχρησης των νέων τεχνολογιών Αυξανόµενος προβληµατισµός σχετικά µε το ζήτηµα του Ετους 2000 Υιοθέτηση µέτρων Αντιµετώπισης Έκτατων Περιστατικών 19

6th Annual Global Information Security Η ασφάλεια πληροφοριών αποτελεί ένα σηµαντικό θέµα για την ιοίκηση... Survey 41% θεωρεί την ασφάλεια πληροφοριών εξαιρετικά σηµαντική 42% θεωρεί την ασφάλεια πληροφοριών σηµαντική 15% θεωρεί την ασφάλεια πληροφοριών όχι πολύ σηµαντική 2% θεωρεί την ασφάλεια πληροφοριών καθόλου σηµαντική 20

6th Annual Global Information Security Survey Κύριες πηγές πληροφοριακών κινδύνων 65% εξωτερικοί παράγοντες (computer crime, hackers,...) 7% εξουσιοδοτηµένοι χρήστες 14% πρώην εργαζόµενοι 21% µη εξουσιοδοτηµένοι χρήστες 9% παροχείς / υπεργολάβοι υπηρεσιών πληροφορικής 21

6th Annual Global Information Security Κύρια εµπόδια εξάπλωσης της χρήσης του ιαδικτύου... Survey 32% θέµατα ασφάλειας 26% ανώριµη τεχνολογία 25% σχέση κόστους / οφέλους 21% έλλειψη εµπιστοσύνης στο Ηλεκτρονικό Εµπόριο 20% µη επάρκεια υποστήριξης πελατών 16% έλλειψη διαλειτουργικότητας 11% έλλειψη διοικητικής υποστήριξης 22

6th Annual Global Information Security Μη επαρκής αντιµετώπιση ζητηµάτων ασφάλειας... 41% δεν διαθέτουν τεκµηριωµένη πολιτική και διαδικασίες ασφάλειας Survey 39% δεν διαθέτουν διαδικασίες συστηµατικής παρακολούθησης σχετικών συµβάντων 77% δεν διαθέτουν διαδικασίες προσχεδιασµένης ανταπόκρισης σε αντίστοιχα συµβάντα 34% δεν υποβάλουν σε τακτική δοκιµασία το Σχέδιο Αντιµετώπισης Εκτακτων Περιστατικών που διαθέτουν 23

6th Annual Global Information Security Κύρια αίτια της µη επαρκούς αντιµετώπισης των ζητηµάτων ασφάλειας... 34% µη επαρκής αντίληψη / κατανόηση του προβλήµατος από πλευράς εργαζοµένων 18% έλλειψη σχετικής υποδοµής / εργαλείων αποτροπής 25% ζήτηµα επάρκειας κατάλληλων ανθρώπινων πόρων 27% στενότητα προϋπολογισµού 19% µη επαρκής αντίληψη / κατανόηση του προβλήµατος από πλευράς ιοίκησης Survey 24

Έλεγχος Πληροφοριακών Συστηµάτων Αυτοµατοποιηµένα Ελεγκτικά Εργαλεία: Επιτρέπουν την αποτελεσµατική συλλογή και επεξεργασία πληροφοριών σχετικών µε την ασφάλεια των συστηµάτων ενός Οργανισµού Ταχύτητα - Ακρίβεια - Επαναληπτικότητα Ανθρώπινος παράγοντας 25

Έλεγχος Πληροφοριακών Συστηµάτων Αυτοµατοποιηµένα Ελεγκτικά Εργαλεία (1) Αξιολόγηση επιχειρησιακών λειτουργιών, κινδύνων και σηµείων ελέγχου Risk Assessment Control Evaluation Advisor - RACE (τεκµηρίωση και αξιολόγηση επιχειρησιακών λειτουργιών, κινδύνων και τεχνικών ελέγχου) CobiT Advisor (Ανάλυση και αξιολόγηση λειτουργίας πληροφορικής) Applications Risk Management (αξιολόγηση και προτεραιοποίηση εφαρµογών από πλευράς κινδύνων) Ανάλυση και επεξεργασία δεδοµένων Audit Command Language (ACL) Statistical Analysis System Digital Filter Wizard 26

Έλεγχος Πληροφοριακών Συστηµάτων Αυτοµατοποιηµένα Ελεγκτικά Εργαλεία (2) Αξιολόγηση Ασφάλειας Λειτουργικού Συστήµατος MVS OS/400, Windows NT, Unix,... Ανασκόπηση χαρακτηριστικών ασφάλειας δικτύων Internet Security Scanner Internet Advisor and Intranet Advisor Web-site evaluation 27

Έλεγχος Πληροφοριακών Συστηµάτων ιεθνές ίκτυο της Ernst & Young: International IS Auditors Knowledge Network (Ανταλλαγή γνώσεων & εµπειριών, πρότυπα ελεγκτικά προγράµµατα, τάσεις & εξελίξεις, βέλτιστες πρακτικές, δείκτες απόδοσης, Internet,...) ISAAS Workbench (Μεθοδολογίες, εργαλεία, πληροφορίες για αντίστοιχα έργα, βιβλιογραφία,...) Internal Auditors Workbench (Μεθοδολογίες, εργαλεία, πρόσβαση σε σχετικές βάσεις δεδοµένων,...) 28

29

30

31

Έλεγχος Πληροφοριακών Συστηµάτων Βιβλιοθήκη που περιέχει εξειδικευµένες ελεγκτικές προσεγγίσεις, τεχνικά χαρακτηριστικά και χαρακτηριστικά ασφάλειας για ευρύ φάσµα συστηµάτων πληροφορικής: CA-ACF2 ACF2 IBM / MVS SAP R/2 RACF SAP R/3 DEC VAX/VMS JD Edwards HP3000 AIX Operating System AS/400 UNIX Operating System IBM System/36 CA Librarian IBM System/38 CA PANVALET Tandem Nonstop CA TopSecret Windows NT CICS NetWare 4 32

Παράδειγµα Έργου Επιχειρησιακό πρόβληµα: : Η εταιρεία-πελάτης µας θεωρεί ότι η ανάπτυξη εσωτερικής λειτουργίας Ελέγχου Π/Σ θα έχει µεγάλο κόστος, ιδιαίτερα εάν ληφθεί υπόψη η έλλειψη εξειδικευµένου προσωπικού Λύση: Πρόσληψη εξωτερικού συνεργάτη/συµβούλου για παροχή σχετικών υπηρεσιών Εκτίµηση ελεγκτικών αναγκών πληροφορικής από εξωτερικό συνεργάτη/σύµβουλο Υλοποίηση επιµέρους έργων ελέγχου Π/Σ 33

Σκοπός - Έκταση Ελέγχου Συµµόρφωση µε υφιστάµενες διαδικασίες που αποτυπώνονται στα Εγχειρίδια ιαδικασιών Αποτελεσµατική διεκπεραίωση Λειτουργίας Πληροφορικής 34

Μεθοδολογική Προσέγγιση Εκτίµηση Ελεγκτικών Αναγκών Πέρας Ελέγχου - Τελική Συνάντηση Έναρξη Ελέγχου - Αρχική Συνάντηση Αναφορά & Καταγραφή Ευρηµάτων ιεξαγωγή Ελέγχου 35

Εκτίµηση Ελεγκτικών Αναγκών ηµιουργία Αναλυτικού Μοντέλου ιαδικασίας Πληροφορικής Ανάλυση Κινδύνων και ηµιουργία Σχεδίου Εσωτερικού Ελέγχου Ενηµέρωση και συζήτηση µε τους υπευθύνους της εταιρείας 36

Αναλυτικό Μοντέλο ιαδικασίας Πληροφορικής 37

Έναρξη Ελέγχου - Αρχική Συνάντηση Περιγραφή της διαδικασίας ελέγχου Καθορισµός υπευθύνων και προσωπικού των περιοχών που θα εξετασθούν 38

ιεξαγωγή Ελέγχου Μέθοδοι ιεξαγωγής Ελέγχου Συνεντεύξεις walkthroughs ειγµατοληπτικός Έλεγχος Επισκόπηση Εντύπων/Εγγράφων/Αναφορών οκιµές Επαλήθευσης 39

Αναφορά & Καταγραφή Ευρηµάτων ηµιουργία Προσχεδίου Έκθεσης Εύρηµα - Παρατήρηση Επιπτώσεις / Συνέπειες Προτάσεις Συζήτηση µε τη ιοίκηση της εταιρείας 40

Πέρας Ελέγχου - Τελική Συνάντηση Ολοκλήρωση και Επισκόπηση διαδικασίας ελέγχου/αποτελεσµάτων Παράδοση τελικής Έκθεσης Αξιολόγηση αποτελεσµατικότητας διαδικασίας εσωτερικού ελέγχου 41

Παράδειγµα Έργου Επιχειρησιακό πρόβληµα: : Η εταιρεία-πελάτης µας ως θυγατρική εταιρεία, υποχρεούται να συµµοργωθεί µε τις απαιτήσεις που έχει θέσει η µητρική εταιρεία αναφορικά µε το πλαίσιο ασφάλειας πληροφοριών Λύση: Πρόσληψη εξωτερικού συνεργάτη/συµβούλου για παροχή σχετικών υπηρεσιών Υλοποίηση επιµέρους έργων για την ικανοποίηση των απαιτήσεων της µητρικής εταιρείας 42

Υπηρεσίες Ασφάλειας Πληροφοριών Recommendations Security Profiling Services Findings Security Architecture Services Security Implementation Services Maintain Assess/Test Detect Design Monitor 43 Implement

Σκοπός - Έκταση Ελέγχου Επισκόπηση Ασφάλειας Πληροφοριών Βελτιωτικές Προτάσεις Ασφάλειας Πληροφοριών Σχεδιασµός Εκτάκτων Περιστατικών 44

Υπηρεσίες Αποτίµησης Επιπέδου Ασφάλειας Recommendations Security Profiling Services Findings Security Architecture Services Security Implementation Services Maintain Assess/Test Detect Design Monitor 45 Implement

Μεθοδολογική Προσέγγιση ιενέργεια Σχεδιασµού ιενέργεια Συνεντεύξεων Συλλογή & Ανάλυση Στοιχείων Σύνταξη Αναφοράς Ολοκλήρωση Έργου 46

Θεµατικές Περιοχές ιαδικασία Πληροφορικής - Πρότυπα - Τεκµηρίωση Ταυτοποίηση, Αυθεντικοποίηση & ιαχείριση Λογαριασµών Έλεγχοι Πρόσβασης Ακεραιότητα & ιαθεσιµότητα Καταγραφή & Παρακολούθηση Συµβάντων Σχεδιασµός Ασφάλειας Αποµακρυσµένη Πρόσβαση Αρχεία & Κατάλογοι 47

Υπηρεσίες Αρχιτεκτονικής Ασφάλειας Recommendations Security Profiling Services Findings Security Architecture Services Security Implementation Services Maintain Assess/Test Detect Design Monitor 48 Implement

Μεθοδολογική Προσέγγιση Γράψιµο Πολιτικής ιενέργεια Σχεδιασµού Ανασκόπηση Υπάρχουσας Κατάστασης Ανασκόπηση Έργου Γράψιµο Προτύπων 49

Ευχαριστούµε για την προσοχή σας 50