28. listopada 2015. 1 [email protected]www.efzg.hr/mspremic 28. listopada 2015. 2 Ekonomski fakultet - Zagreb, Katedra za informatiku › Redoviti profesor (www.efzg.hr/mspremic) › Obrazovanje: dipl. inž, PMF - Matematika, mr.sc. PDS IM, Dr.sc. EFZG › Gostujući profesor: EF Lj, FER, FOI, EFSA, WU Beč, FKPV Celje 1995 - 2001. Ledo d.d., Agrokor d.d. (programer, sistem analitičar, sistem inženjer, voditelj projekata) 10 knjiga, preko 150 znanstv. i stručnih članaka Član prog. odbora i stalni recenzent radova na 20-ak međunarodnih znanstvenih konferencija i 10-ak znanstvenih časopisa Voditelj CIO Akademije (www.efzg.hr/cio) Revizor informacijskih sustava (50-ak provedenih revizija IS-a) Voditelj niza većih projekata u raznim industrijama Konzultant (HR, SLO) – IT Governance, IT Strategy, IS Audit, …. ISACA member (CGEIT certifikat), IIA member
21
Embed
Osnovne pretpostavke revizije informacijskog sustava kao uvjet ...
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Ekonomski fakultet - Zagreb, Katedra za informatiku › Redoviti profesor (www.efzg.hr/mspremic) › Obrazovanje: dipl. inž, PMF - Matematika, mr.sc. PDS IM,
1995 - 2001. Ledo d.d., Agrokor d.d. (programer, sistem analitičar, sistem inženjer, voditelj projekata)
10 knjiga, preko 150 znanstv. i stručnih članaka Član prog. odbora i stalni recenzent radova na 20-ak međunarodnih
znanstvenih konferencija i 10-ak znanstvenih časopisa Voditelj CIO Akademije (www.efzg.hr/cio) Revizor informacijskih sustava (50-ak provedenih revizija IS-a) Voditelj niza većih projekata u raznim industrijama Konzultant (HR, SLO) – IT Governance, IT Strategy, IS Audit, …. ISACA member (CGEIT certifikat), IIA member
Nova (digitalna) ekonomija – krovni pojam za označavanje novih proizvoda, usluga, tržišta i brzorastućih sektora, posebice onih temeljenih na informacijskoj (internetskoj) tehnologiji kao osnovnoj infrastrukturi poslovanja
Integracija (prožimanje) tehnologija (Internet of Things – IoE, web 2.0, cloud, big data, mobilne tehnologije = lokacijske usluge, mobilne aplikacije, 3D print, BYOD …. robotika, nosive tehnologije, …)
Integracija progresivnih koncepcija i poslovnih modela (start-up, korporativno poduzetništvo, ‘disruptive innovation’, ‘design thinking’, ‘agile’, ‘custom’, consumer oriented’)
Zrakoplov iz 1989. koji je zbog pogreške računala pri utvrđivanju preletnih
koordinata udario u planinu na Antarktici
Slom australskog sustava socijalnog osiguranja 1992. (zbog pogreške u IS
odobrena su neka prava osiguranicima što je porezne obveznike stajalo 126
milijuna australskih dolara)
Britanski umirovljenici su bili godinama prikraćivani za 300 GBP mjesečno radi
pogreške u projektiranju IS
Slom burze tehnoloških dionica iz 1995.
služba socijalnog osiguranja SAD-a isplatila više od 60 milijuna $ na račune oko
8.000 pokojnika u toku 15 godina
Giant Food Inc. – umjesto 25 centi, dioničarima isplaćena dividenda od 2,5 $ -
ukupno više isplaćeno 11 milijuna “nepostojećih” dolara
Stanley Mark Rifkin “provalio” u EFT (Electronic Funds Transfer) sustav velike
banke i napravio transfer 10,2 milijuna $ na račun u Švicarskoj, te kupio 250.000
dijamanata – kazna 8 godina strogog zatvora.
28. listopada 2015.
3
5
• Hakerska pljačka bankomata (.doc)
• DARPA uspješno hakirala automobil (.doc)
• Stuxnet Iran, napad na Estoniju, prodori u kritičnu nacionalnu infrastrukturu -
energetska ili vodoopskrba mreža, nuklearke)
• NATO centar za cyberobranu u Tallinnu
• USA - cyberprostor je 5. vojna domena - kopno, zrak, more i svemir
6 6
Ukupne štete od krađe banaka u SAD-u 100 milijuna USD godišnje – cca 600 milijuna USD se potroši na sprječavanje tih događaja (Italija u 2006. – 65 milijuna USD troškovi krađe banaka, 649 milijuna USD sprječavanje)
(McAfee, 2013) trošak cyber kriminala 1000 milijardi USD (0,2 - 0,4% svjetskog GDP-a, 7% GDP SAD-a)
(Washington Post, 2014) trošak zaštitnih mjera od cyber kriminala – 67 milijardi USD (štete cca 200-njak milijardi USD)
(ISACA, 2015) 97% cyber napada se moglo izbjeći da su kompanije imale učinkovite sustave zaštite www.isaca.org/cobit5info-sec
(ISACA, 2015) 95% kompromitiranih resursa sadržavalo je povjerljive podatke
(ISACA, 2015) šteta od krađa podataka - 174 milijuna USD, 1 krađa podataka košta 5,5 milijuna USD; razlozi krađe - 58% ‘haktivisti’, 39% nemar zaposlenih
(ISACA, 2015) 28 milijardi spam poruka svaki dan
(UK Government, 2014) UK cyber crime loss 27 billion GPB, prevention costs 650 million GPB
(BBC, 2006) ‘most people would disclose their computer password for a chocolate bar’
i napadačko kibernetičko oružje osmišljeno od strane države)
8 8
28. listopada 2015.
5
9 9
10 10
Tradicionalno, središnje kontrolirano i upravljano IT okruženje vs otvoreno okruženje uporabe mnogostrukih (mobilnih) uređaja (BYOD = ‘blurred business and private domains’)
Priroda sigurnosnih incidenata se promijenila – od izdvojenih napada od strane pojedinaca do ciljanih, organiziranih kriminalnih aktivnosti, često i na nacionalnim razinama
‘Cybersecurity is faced with a skills crisis’
Ljudi su najčešća meta cyber napada (malware, phishing, hacking, socijalni inženjering, …)
Najveća prijetnja cyber-sigurnosti – izostanak svijesti i vještina obrane
Nitko nije izuzet od napada i zloporaba (SMEs, ‘neatraktivne’ djelatnosti, …)
Modeli procjene rizika više ne barataju s pojmom ‘vjerojatnost da prijetnja iskoristi ranjivost i …’. Ti su događaji ‘izvjesni’, odnosno ‘neizbježni’ (KADA se dogode, a ne AKO se dogode)
Pojam cyber-sigurnost se odnosi na holistički model ovladavanja, upravljanja i
osiguravanja funkcioniranja modernog informatičkog okruženja koji uključuje
tehnološke, organizacijske, društvene i ostale aspekte, u odnosu na klasične
procedure informacijske sigurnosti koje su mahom tehnološke orijentirane.
Cyber-sigurnost je pojam koji se fokusira na specifične, visoko sofisticirane metode
napada i pokriva organizacijske, tehnološke i socijalne (društvene) aspekte napada.
Cyber-sigurnost predstavlja sve mjere kontrole i zaštite koje pojedince i kompanije štite
od namjernih informatičkih napada, krađe podataka i incidenata.
Organizacije (i revizori) trebaju prioritetno prevladati razlike pojmovima informacijska
sigurnost i cyber-sigurnost: upravljanje prvim pojmom najčešće ovisi o budžetu,
procjenama i raznim ograničenjima, dok se drugi pojam suočava ne s procijenjenim, ne
s vjerojatnim, nego sa stvarnim prijetnjama vrlo inteligentnih napadača koji imaju
alate, vrhunske tehnološke i ostale vještine, ali i motive i prilike napadati informatičku
infrastrukturu modernog poslovanja s ciljem počinjenja zloporaba.
Kontrola je sustav, što znači da obuhvaća skup uzajamno povezanih (interagirajućih) komponenata koje, djelujući jedinstveno i usklađeno, potpomažu ostvarivanje utvrđenih ciljeva informacijskog sustava.
Kontrola se usmjerava na neželjene događaje ili procese u informacijskom sustavu. Neželjeni događaj može nastati, a proces biti aktiviran zbog neovlaštenih, netočnih, nepotpunih, redundantnih, nedjelotvornih ili neučinkovitih ulaza u sustav.
Kontrole se primjenjuju zato da bi se spriječili (prevenirali), otkrili (detektirali) ili ispravili (korigirali) neželjeni događaji i/ili procesi.
28. listopada 2015.
7
13
Informatičke kontrole razvrstavamo prema sljedećim kriterijima:
• obzirom na način primjene razlikujemo:
– automatske kontrole,
– ručne kontrole,
• obzirom na svrhu zbog koje se poduzimaju razlikujemo:
– preventivne kontrole,
– detektivne kontrole,
– korektivne kontrole,
• obzirom na hijerarhijsku razinu njihova djelovanja razlikujemo:
– korporativne kontrole,
– upravljačke kontrole i funkcijske (procesne) kontrole,
– operativne kontrole,
• obzirom na način funkcioniranja razlikujemo:
– organizacijske,
– tehnološke i
– fizičke.
14
Svaki IS, naravno, obiluje brojnim kontrolama koje su u njega ugrađene, a koje se primjenjuju kako bi se ostvarili ciljevi njegova funkcioniranja i kako bi se njime učinkovito upravljalo
Što su kontrole učinkovitije i dobro oblikovane, manje je vjerojatno da će informacijski sustav biti izložen nekoj prijetnji i da će se neželjeni događaj 'razviti' u rizik za poslovanje
Revizijama IS-a provjeravamo postoji li neka informatička kontrola i u kojoj je mjeri učinkovita
Revizijama IS-a se testiraju razine učinkovitosti informatičkih kontrola, prikupljaju argumenti i dokazi pomoću kojih je moguće procijeniti rizike za poslovanje i dati preporuke za njihovo smanjenje.
28. listopada 2015.
8
15 15
• COBIT 5 – krovni okvir revizije IS-a
• Prema područjima revizije – Upravljanje razvojem IS-a (CMMI, TickIT,...)
› FTP vs SCP http://www.hypexr.org/linux_scp_help.php
› HTTP vs S-HTTP https://www.instantssl.com/ssl-certificate-
products/https.html
› TLS (Transport Layer Security) i SSL
https://www.instantssl.com/ssl.html
28
Rizici za poslovanje? › Predstavljaju li pohranjeni podaci stvarne poslovne događaje?
› Postoji li mogućnost da su neki podaci ‘nasilno’ umetnuti, uz zaobilaženje ili neučinkovitost kontrolnih mehanizama?
› Jesu li podaci u prijenosu sigurni i ‘otporni’ na zloporabu?
› Predstavljaju li sigurnosne postavke opreme i računalne mreže rizik za poslovanje?
Organizacijske i tehničke kontrole koje treba testirati: › Pregled sigurnosnog okruženja pohrane podataka (sigurnosne postavke baze
podataka – DBMS-a)
› Pregled kontrolnih mehanizama koji se koriste pri prijenosu podataka (računalnim mrežama) – kriptografski protokoli, scp, tls, https, ssl, itd.
› Pregled sigurnosnog okruženja računalne mreže (logička sigurnost i pristup ključnoj opremi kroz koju ‘prolaze’ podaci, kontrole pristupa mreži izvana, kontrola ulaza u mrežu, fizička i logička razdvojenost ključnih dijelova računalne mreže)
› Zaštita pohranjenih podataka koji se odnose na ranije transakcije (pristup bazi podataka, kriptografija, itd.