Bilgi güvenliği denetimi - Information security audit

Bu makalenin birden çok sorunu var. Lütfen yardım et onu geliştir veya bu konuları konuşma sayfası. (Bu şablon mesajların nasıl ve ne zaman kaldırılacağını öğrenin) Bu makale genel bir liste içerir Referanslar, ancak büyük ölçüde doğrulanmamış kalır çünkü yeterli karşılık gelmiyor satır içi alıntılar. Lütfen yardım edin geliştirmek bu makale tanıtım daha kesin alıntılar. (Nisan 2009) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin) Bu makalenin gerçek doğruluk tartışmalı. İlgili tartışma şurada bulunabilir: konuşma sayfası. Lütfen tartışmalı ifadelerin güvenilir kaynaklı. (Ekim 2018) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin) Bu makale gibi yazılmıştır kişisel düşünme, kişisel deneme veya tartışmaya dayalı deneme bir Wikipedia editörünün kişisel duygularını ifade eden veya bir konu hakkında orijinal bir argüman sunan. Lütfen geliştirmeye yardım et yeniden yazarak ansiklopedik tarz. (Ekim 2018) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin) Bu makale için ek alıntılara ihtiyaç var doğrulama. Lütfen yardım et bu makaleyi geliştir tarafından güvenilir kaynaklara alıntılar eklemek. Kaynaksız materyale itiraz edilebilir ve kaldırılabilir. Kaynakları bulun: "Bilgi güvenliği denetimi"  – Haberler  · gazeteler  · kitabın  · akademisyen  · JSTOR (Ekim 2018) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin) Bu makale muhtemelen kaynaksız içeriyor tahminler, spekülatif materyal veya gerçekleşmeyebilecek olayların hesapları. Bilgi olmalı doğrulanabilir ve dayalı güvenilir yayınlanmış kaynaklar. Lütfen yardım et onu geliştir kaynaksız spekülatif içeriği kaldırarak. (Ekim 2018) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin)

Bir bilgi güvenliği denetimi bir denetim düzeyinde bilgi Güvenliği bir organizasyonda. Bilgi güvenliğini denetlemenin geniş kapsamı içinde, birden çok denetim türü, farklı denetimler için birden çok hedef vardır. kontroller denetlenenler kategorilere ayrılabilir teknik, fiziksel ve Yönetim. Bilgi güvenliği denetimi, veri merkezlerinin fiziksel güvenliğinin denetlenmesinden veritabanlarının mantıksal güvenliğinin denetlenmesine kadar olan konuları kapsar ve aranacak temel bileşenleri ve bu alanları denetlemek için farklı yöntemleri vurgular.

Bilgi güvenliğinin BT yönlerine odaklandığında, bir işin parçası olarak görülebilir. bilgi teknolojisi denetimi. Genellikle daha sonra bir bilgi teknolojisi güvenlik denetimi veya bir bilgisayar güvenlik denetimi. Ancak bilgi güvenliği, BT'den çok daha fazlasını kapsar.

Denetim süreci

Denetim planlaması ve hazırlığı

Bir veri merkezi incelemesi gerçekleştirmeden önce denetçi, şirket ve kritik iş faaliyetleri hakkında yeterince eğitilmelidir. Veri merkezinin amacı, kritik bilgi ve süreçlerin güvenliğini ve bütünlüğünü korurken veri merkezi faaliyetlerini işletmenin hedefleriyle uyumlu hale getirmektir. Müşterinin amacına ulaşılıp ulaşılmadığını yeterince belirlemek için denetçi, incelemeyi gerçekleştirmeden önce aşağıdakileri yapmalıdır:

• Olası endişe alanlarını belirlemek için BT yönetimi ile görüşün
• Mevcut BT'yi inceleyin organizasyon şeması
• Veri merkezi çalışanlarının iş tanımlarını inceleyin
• Tümünü araştır işletim sistemleri, yazılım uygulamaları ve veri merkezi içinde çalışan veri merkezi ekipmanı
• Şirketin BT politikalarını ve prosedürlerini inceleyin
• Şirketin BT bütçesini ve sistem planlama belgelerini değerlendirin
• Veri merkezlerinin felaket kurtarma planı

Denetim hedeflerinin belirlenmesi

Kurumsal bir veri merkezinin gözden geçirilmesinde bir sonraki adım, denetçi veri merkezi denetim hedeflerini ana hatlarıyla belirlediğinde gerçekleşir. Denetçiler, işletme ortamındaki denetim risklerini potansiyel olarak tanımlayan veri merkezi prosedürleri ve faaliyetleriyle ilgili çok sayıda faktörü dikkate alır ve bu riskleri hafifleten mevcut kontrolleri değerlendirir. Kapsamlı test ve analizlerden sonra denetçi, veri merkezinin uygun kontrolleri sürdürüp sürdürmediğini ve verimli ve etkili bir şekilde çalışıp çalışmadığını yeterli şekilde belirleyebilir.

Aşağıda, denetçinin gözden geçirmesi gereken hedeflerin bir listesi verilmiştir:

• Sistemler ve işlevler arası eğitim dahil personel prosedürleri ve sorumlulukları
• Yönetimi değiştir süreçler yerinde ve BT ve yönetim personeli tarafından takip ediliyor
• Arıza süresini en aza indirmek ve önemli verilerin kaybolmasını önlemek için uygun yedekleme prosedürleri mevcuttur
• Veri merkezi, veri merkezine yetkisiz erişimi önlemek için yeterli fiziksel güvenlik kontrollerine sahiptir.
• Ekipmanın yangın ve selden korunmasını sağlamak için yeterli çevresel kontroller mevcuttur.

İncelemenin yapılması

Bir sonraki adım, veri merkezi denetim hedeflerini karşılamak için kanıt toplamaktır. Bu, veri merkezi konumuna seyahat etmeyi ve süreçleri ve veri merkezi içinde gözlemlemeyi içerir. Önceden belirlenmiş denetim amaçlarını karşılamak için aşağıdaki inceleme prosedürleri uygulanmalıdır:

• Veri merkezi personeli - Tüm veri merkezi personeli, veri merkezine (anahtar kartları, oturum açma kimlikleri, güvenli parolalar, vb.) Erişim yetkisine sahip olmalıdır. Veri merkezi çalışanları, veri merkezi ekipmanı hakkında yeterince eğitilir ve işlerini doğru şekilde yerine getirir. Satıcı servis personeli, veri merkezi ekipmanı üzerinde çalışırken denetlenir. Denetçi, hedeflerini gerçekleştirmek için veri merkezi çalışanlarını gözlemlemeli ve onlarla görüşmelidir.
• Ekipman - Denetçi, tüm veri merkezi ekipmanının düzgün ve etkili bir şekilde çalıştığını doğrulamalıdır. Ekipman kullanım raporları, hasar ve işlevsellik için ekipman incelemesi, sistem kapalı kalma süresi kayıtları ve ekipman performans ölçümlerinin tümü, denetçinin veri merkezi ekipmanının durumunu belirlemesine yardımcı olur. Ek olarak denetçi, önleyici bakım politikalarının yürürlükte olup olmadığını ve uygulanıp uygulanmadığını belirlemek için çalışanlarla görüşmelidir.
• Politikalar ve Prosedürler - Tüm veri merkezi politikaları ve prosedürleri belgelenmeli ve veri merkezinde bulunmalıdır. Belgelenmiş önemli prosedürler şunları içerir: veri merkezi personelinin iş sorumlulukları, yedekleme politikaları, güvenlik politikaları, çalışan sonlandırma politikaları, sistem işletim prosedürleri ve işletim sistemlerine genel bakış.
• Fiziksel güvenlik / çevresel kontroller - Denetçi, müşterinin veri merkezinin güvenliğini değerlendirmelidir. Fiziksel güvenlik, korumaları, kilitli kafesleri, insan tuzaklarını, tek girişleri, cıvatalı ekipmanı ve bilgisayar izleme sistemlerini içerir. Ek olarak, veri merkezi ekipmanının güvenliğini sağlamak için çevresel kontroller uygulanmalıdır. Bunlar şunları içerir: Klima üniteleri, yükseltilmiş zeminler, nemlendiriciler ve kesintisiz güç kaynağı.
• Yedekleme prosedürleri - Denetçi, sistem arızası durumunda müşterinin yedekleme prosedürlerine sahip olduğunu doğrulamalıdır. Müşteriler, sistem arızası durumunda anında işlemlere devam etmelerine olanak tanıyan ayrı bir konumda bir yedekleme veri merkezi tutabilirler.

İnceleme raporunun yayınlanması

Veri merkezi inceleme raporu, denetçinin bulgularını özetlemeli ve format olarak standart bir inceleme raporuna benzer olmalıdır. İnceleme raporu, denetçinin soruşturmasının ve prosedürlerinin tamamlandığı tarihe sahip olmalıdır. İncelemenin neyi gerektirdiğini belirtmeli ve incelemenin üçüncü taraflara yalnızca "sınırlı güvence" sağladığını açıklamalıdır.

Denetimleri kim gerçekleştirir

Genellikle bilgisayar güvenlik denetimleri şu kişiler tarafından gerçekleştirilir:

1. Federal veya Eyalet Düzenleyicileri - Sertifikalı muhasebeciler, CISA. Federal OTS, OCC, DOJ vb.
2. Kurumsal İç Denetçiler - Sertifikalı muhasebeciler, CISA, Certified Internet Audit Professional (CIAP).^[1]
3. Dış Denetçiler - Teknoloji denetimi ile ilgili alanlarda uzmanlaşmıştır.
4. Danışmanlar - Organizasyonun özel becerilere sahip olmadığı durumlarda teknoloji denetimini dış kaynak olarak kullanmak.

Denetlenen sistemler

Bu bölüm için ek alıntılara ihtiyaç var doğrulama. Lütfen yardım et bu makaleyi geliştir tarafından güvenilir kaynaklara alıntılar eklemek. Kaynaksız materyale itiraz edilebilir ve kaldırılabilir. Kaynakları bulun: "Bilgi güvenliği denetimi"  – Haberler  · gazeteler  · kitabın  · akademisyen  · JSTOR (2016 Haziran) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin)

Ağ güvenlik açıkları

• Kesişme: Ağ üzerinden iletilen veriler, verileri zararlı kullanıma sokabilecek istenmeyen bir üçüncü kişi tarafından yakalanmaya karşı savunmasızdır.
• Kullanılabilirlik: Ağlar, birçoğunun şirket bilgilerine erişmek için güvendiği yüzlerce veya binlerce mili geçerek geniş bir alana yayıldı ve bağlantı kaybı, iş kesintisine neden olabilir.
• Erişim / giriş noktası: Ağlar, istenmeyen erişime karşı savunmasızdır. Ağdaki zayıf bir nokta, bu bilgileri davetsiz misafirlere açık hale getirebilir. Ayrıca virüsler ve Truva atları için bir giriş noktası sağlayabilir.^[2]

Kontroller

• Engelleme kontrolleri: Kesişme, iletişim bağlantılarının sona erdiği ve ağ kablolarının ve dağıtımlarının bulunduğu yerler dahil olmak üzere veri merkezlerindeki ve ofislerdeki fiziksel erişim kontrolleriyle kısmen caydırılabilir. Şifreleme ayrıca kablosuz ağların güvenliğini sağlamaya da yardımcı olur.
• Kullanılabilirlik kontrolleri: Bunun için en iyi kontrol, mükemmel ağ mimarisine ve izlemesine sahip olmaktır. Ağ, her kaynak ile bir erişim noktası arasında yedek yollara ve veri veya zaman kaybı olmadan trafiği mevcut yola geçirmek için otomatik yönlendirmeye sahip olmalıdır.
• Erişim / giriş noktası kontrolleri: Çoğu ağ kontrolü, ağın harici ağa bağlandığı noktaya yerleştirilir. Bu kontroller, ağ üzerinden geçen trafiği sınırlar. Bunlar güvenlik duvarlarını, izinsiz giriş tespit sistemlerini ve antivirüs yazılımlarını içerebilir.

Denetçi, ağı ve güvenlik açıklarını daha iyi anlamak için belirli sorular sormalıdır. Denetçi ilk olarak ağın kapsamının ne olduğunu ve nasıl yapılandırıldığını değerlendirmelidir. Bir ağ diyagramı, bu süreçte denetçiye yardımcı olabilir. Bir denetçinin sorması gereken bir sonraki soru, bu ağın hangi kritik bilgileri koruması gerektiğidir. Müşteriler tarafından erişilen kurumsal sistemler, posta sunucuları, web sunucuları ve ana bilgisayar uygulamaları gibi şeyler genellikle odak alanlarıdır. Kimin hangi bölümlere erişimi olduğunu bilmek de önemlidir. Müşteriler ve satıcıların ağ üzerindeki sistemlere erişimi var mı? Çalışanlar bilgilere evden erişebilir mi? Son olarak denetçi, ağın dış ağlara nasıl bağlandığını ve nasıl korunduğunu değerlendirmelidir. Çoğu ağ, en azından internete bağlıdır ve bu bir güvenlik açığı noktası olabilir. Bunlar, ağları korumada kritik sorulardır.

Şifreleme ve BT denetimi

Denetçi, bir müşterinin kendi organizasyonu için şifreleme politikaları uygulaması ihtiyacını değerlendirirken, müşterinin risk ve veri değerinin bir analizini yapmalıdır. Birden fazla dış kullanıcısı, e-ticaret uygulaması ve hassas müşteri / çalışan bilgileri olan şirketler, veri toplama sürecinde doğru verileri uygun aşamada şifrelemeyi amaçlayan katı şifreleme politikaları sürdürmelidir.

Denetçiler, müşterilerinin şifreleme politikalarını ve prosedürlerini sürekli olarak değerlendirmelidir. Büyük ölçüde bağımlı olan şirketler e-ticaret sistemler ve kablosuz Ağlar hırsızlığa ve iletim sırasında kritik bilgilerin kaybolmasına karşı son derece savunmasızdır. Aktarılan tüm verilerin korunmasını sağlamak için politikalar ve prosedürler belgelenmeli ve yürütülmelidir.

Denetçi, yönetimin veri şifreleme yönetimi süreci üzerinde yerinde kontrollere sahip olduğunu doğrulamalıdır. Anahtarlara erişim çift kontrol gerektirmeli, anahtarlar iki ayrı bileşenden oluşmalı ve programcılar veya dış kullanıcılar tarafından erişilemeyen bir bilgisayarda tutulmalıdır. Dahası, yönetim, şifreleme politikalarının istenen düzeyde veri korumasını sağladığını doğrulamalı ve verileri şifreleme maliyetinin bilginin kendi değerini aşmadığını doğrulamalıdır. Uzun bir süre saklanması gereken tüm veriler şifrelenmeli ve uzak bir konuma taşınmalıdır. Şifrelenmiş tüm hassas bilgilerin bulunduğu yere ulaşmasını ve uygun şekilde saklanmasını garanti edecek prosedürler yürürlükte olmalıdır. Son olarak denetçi, şifreleme sisteminin güçlü, saldırıya açık olmadığı ve tüm yerel ve uluslararası yasa ve yönetmeliklere uygun olduğu konusunda yönetimden doğrulama almalıdır.

Mantıksal güvenlik denetimi

Herhangi bir sistemin denetiminde ilk adım, bileşenlerini ve yapısını anlamaya çalışmaktır. Denetlerken mantıksal güvenlik denetçi hangi güvenlik kontrollerinin uygulandığını ve nasıl çalıştığını araştırmalıdır. Özellikle, aşağıdaki alanlar mantıksal güvenliğin denetlenmesinde kilit noktalardır:

• Şifreler: Her şirket, parolalara ve çalışanların bunları kullanımına ilişkin yazılı politikalara sahip olmalıdır. Parolalar paylaşılmamalı ve çalışanların zorunlu programlanmış değişiklikleri olmalıdır. Çalışanlar, iş işlevlerine uygun kullanıcı haklarına sahip olmalıdır. Ayrıca uygun oturum açma / kapatma prosedürlerinin de farkında olmalıdırlar. Güvenlik belirteçleri, bilgisayar programlarının veya ağların yetkili kullanıcılarının kimlik onayına yardımcı olmak için taşıdıkları küçük cihazlar da yararlıdır. Ayrıca kriptografik anahtarları ve biyometrik verileri de depolayabilirler. En popüler güvenlik belirteci türü (RSA'nın SecurID'si) her dakika değişen bir sayı gösterir. Kullanıcılar, kişisel bir kimlik numarası ve jeton üzerindeki numara girilerek doğrulanır.
• Fesih Prosedürleri: Eski çalışanların artık ağa erişememesi için uygun fesih prosedürleri. Bu, şifreleri ve kodları değiştirerek yapılabilir. Ayrıca, dolaşımda olan tüm kimlik kartları ve yaka kartları belgelenmeli ve muhasebeleştirilmelidir.
• Özel Kullanıcı Hesapları: Özel Kullanıcı Hesapları ve diğer ayrıcalıklı hesaplar izlenmeli ve uygun kontrollere sahip olmalıdır.
• Uzaktan Erişim: Uzaktan erişim, genellikle davetsiz misafirlerin bir sisteme girebildiği bir noktadır. Uzaktan erişim için kullanılan mantıksal güvenlik araçları çok katı olmalıdır. Uzaktan erişim günlüğe kaydedilmelidir.

Ağ güvenliğinde kullanılan belirli araçlar

Ağ güvenliği, aşağıdakiler dahil çeşitli araçlarla sağlanır: güvenlik duvarları ve proxy sunucuları, şifreleme mantıksal güvenlik ve erişim kontrolleri, antivirüs yazılımı ve günlük yönetimi gibi denetleme sistemleri.

Güvenlik duvarları ağ güvenliğinin çok temel bir parçasıdır. Genellikle özel yerel ağ ile internet arasına yerleştirilirler. Güvenlik duvarları, kimlik doğrulamasının yapılabileceği, izlenebileceği, günlüğe kaydedilebileceği ve raporlanabileceği trafik için bir geçiş sağlar. Bazı farklı güvenlik duvarı türleri şunları içerir: ağ katmanı güvenlik duvarları, taranmış alt ağ güvenlik duvarları, paket filtreli güvenlik duvarları, dinamik paket filtreleme güvenlik duvarları, hibrit güvenlik duvarları, şeffaf güvenlik duvarları ve uygulama düzeyinde güvenlik duvarları.

Şifreleme işlemi, düz metni aşağıdaki gibi bilinen bir dizi okunamayan karaktere dönüştürmeyi içerir. şifreli metin. Şifrelenmiş metin aktarılırken çalınırsa veya elde edilirse, içerik izleyici tarafından okunamaz. Bu garantiler güvenli iletim ve kritik bilgiler gönderen / alan şirketler için son derece yararlıdır. Şifrelenmiş bilgiler amaçlanan alıcıya ulaştığında, şifre çözme işlemi, şifreli metni düz metne geri döndürmek için devreye alınır.

Proxy sunucular, istemci iş istasyonunun gerçek adresini gizler ve ayrıca bir güvenlik duvarı görevi görebilir. Proxy sunucu güvenlik duvarları, kimlik doğrulamayı zorunlu kılmak için özel bir yazılıma sahiptir. Proxy sunucu güvenlik duvarları, kullanıcı istekleri için aracı görevi görür.

McAfee ve Symantec yazılımı gibi virüsten koruma yazılımı programları, kötü amaçlı içeriği bulur ve imha eder. Bu virüs koruma programları, bilinen bilgisayar virüsleri hakkında en son bilgilere sahip olmalarını sağlamak için canlı güncellemeler çalıştırır.

Mantıksal güvenlik, bir kuruluşun sistemleri için kullanıcı kimliği ve parola erişimi, kimlik doğrulama, erişim hakları ve yetki seviyeleri dahil olmak üzere yazılım korumalarını içerir. Bu önlemler, yalnızca yetkili kullanıcıların bir ağda veya bir iş istasyonunda eylemler gerçekleştirmesini veya bilgilere erişmesini sağlamak içindir.

Denetleme sistemleri, bir kuruluşun ağı üzerinde olanları takip edin ve kaydedin. Log Yönetimi çözümleri, genellikle analiz ve adli tıp için heterojen sistemlerden denetim izlerini merkezi olarak toplamak için kullanılır. Günlük yönetimi, ağa erişmeye çalışan yetkisiz kullanıcıları ve ağda hangi yetkili kullanıcıların eriştiğini ve kullanıcı yetkilerindeki değişiklikleri izlemek ve tanımlamak için mükemmeldir. Kullanıcı etkinliklerini pencere oturumları içinde kaydeden ve indeksleyen yazılımlar, örneğin ObserveIT Terminal hizmetleri, Citrix ve diğer uzaktan erişim yazılımları aracılığıyla uzaktan bağlanıldığında kullanıcı etkinliklerinin kapsamlı denetim izini sağlar.^[3]

2006 yılında 3243 anketine göre Nmap Insecure.Org tarafından kullanıcılar,^[4] Nessus, Wireshark, ve Snort üst düzey ağ güvenliği araçlarıydı. Aynı ankete göre, BackTrack Canlı CD, en yüksek puan alan bilgi güvenliği denetimidir ve penetrasyon testi dağıtım. Nessus, Linux, BSD ve Solaris için 1200'den fazla güvenlik kontrolü gerçekleştiren bir uzak güvenlik tarayıcısıdır. Wireshark, Unix ve Windows için ağ protokolünü analiz eder ve Snort, Microsoft Windows'u da destekleyen bir saldırı tespit sistemidir. Nessus, Wireshark ve Snort ücretsizdir. Ağ güvenliği için diğer bazı popüler ürünler arasında OmniGuard, Guardian ve LANGuard bulunur. Omniguard, Guardian gibi virüs koruması da sağlayan bir güvenlik duvarıdır. LANGuard, ağ denetimi, izinsiz giriş algılama ve ağ yönetimi sağlar. Günlük yönetimi için, SenSage ve diğerleri gibi satıcıların çözümleri, devlet kurumları ve yüksek düzeyde düzenlenmiş endüstriler için seçimdir.

Davranışsal denetim

Güvenlik açıkları genellikle bir kuruluşun BT sistemlerindeki teknik bir zayıflıkla değil, kuruluş içindeki bireysel davranışla ilgilidir. Bunun basit bir örneği, bilgisayarlarını açık bırakan veya e-dolandırıcılık saldırılar. Sonuç olarak, kapsamlı bir InfoSec denetimi sıklıkla bir penetrasyon testi denetçilerin, hem tipik bir çalışanın hem de dışarıdan birinin bakış açısından sistemin mümkün olduğunca çoğuna erişmeye çalıştıkları.^[5]

Sistem ve süreç güvence denetimleri, BT altyapısı ve uygulama / bilgi güvenliği denetimlerinden gelen öğeleri birleştirir ve Tamlık, Doğruluk, Geçerlilik (V) ve Sınırlı erişim (CAVR) gibi kategorilerde çeşitli kontroller kullanır.^[6]

Uygulama güvenliğini denetleme

Uygulama güvenliği

Uygulama Güvenliği üç ana işleve sahiptir:

• Programlama
• İşleme
• Giriş

Programlama söz konusu olduğunda, anahtar sistemlerin geliştirilmesi ve güncellenmesi için sunucular ve ana bilgisayarlar çevresinde uygun fiziksel ve parola korumasının mevcut olduğundan emin olmak önemlidir. Fiziksel erişim güvenliğine sahip olmak veri merkezi veya elektronik rozetler ve rozet okuyucular, güvenlik görevlileri, tıkanma noktaları ve güvenlik kameraları gibi ofisler, uygulamalarınızın ve verilerinizin güvenliğini sağlamak için hayati önem taşır. O zaman sistemdeki değişiklikler konusunda güvenliğiniz olması gerekir. Bunlar genellikle değişiklikleri yapmak için uygun güvenlik erişimiyle ve geliştirme aşamasından teste ve son olarak üretime programlama değişikliklerini gerçekleştirmek için uygun yetkilendirme prosedürlerine sahip olmakla ilgilidir.

İşleme sırasında, sahte veya hatalı verilerin girişi, eksik işleme, mükerrer işlemler ve zamansız işleme gibi birkaç farklı yönün prosedürlerinin ve izlenmesinin yerinde olması önemlidir. Girdinin rastgele gözden geçirildiğinden veya tüm işlemlerin uygun onaya sahip olduğundan emin olmak, bunu sağlamanın bir yoludur. Eksik işlemeyi tespit edebilmek ve ya tamamlamak ya da hatalıysa sistemden silmek için uygun prosedürlerin uygulandığından emin olmak önemlidir. Yinelenen girişleri belirleme ve düzeltme prosedürleri de olmalıdır. Son olarak, zamanında yapılmayan işlemeye gelince, gecikmenin nereden geldiğini görmek ve bu gecikmenin herhangi bir kontrol kaygısı yaratıp yaratmadığını belirlemek için ilişkili verileri geri izlemelisiniz.

Son olarak, erişimin sürdürülmesinin ağ güvenliği yetkisiz erişime karşı tehditler birkaç kaynaktan gelebildiği için şirketler için en önemli odak noktalarından biridir. Öncelikle dahili yetkisiz erişime sahipsiniz. Düzenli olarak değiştirilmesi gereken sistem erişim şifrelerine sahip olmak ve erişimi ve değişiklikleri takip etmenin bir yolu olması çok önemlidir, böylece kimin hangi değişiklikleri yaptığını tespit edebilirsiniz. Tüm faaliyetler kaydedilmelidir. İlgilenilmesi gereken ikinci alan ise uzaktan erişim, insanlar sisteminize dışarıdan internet aracılığıyla erişiyor. Çevrimiçi veri değişikliklerine karşı güvenlik duvarları ve parola koruması kurmak, yetkisiz uzaktan erişime karşı korumanın anahtarıdır. Erişim kontrollerindeki zayıflıkları belirlemenin bir yolu, bilgisayar korsanı Binaya giriş yaparak ve dahili bir terminal kullanarak veya uzaktan erişim yoluyla dışarıdan hackleyerek sisteminizi denemek ve kırmak.

Görevlerin ayrılığı

Gelen veya giden parayla ilgilenen bir işleviniz olduğunda, dolandırıcılığı en aza indirmek ve umarım önlemek için görevlerin ayrıldığından emin olmak çok önemlidir. Doğru olmanın anahtar yollarından biri görevlerin ayrılığı (SoD) sistem perspektifinden bireylerin erişim yetkilerini incelemektir. Gibi belirli sistemler SAP SoD testlerini gerçekleştirme yeteneği ile birlikte gelme iddiası, ancak sağlanan işlevsellik temeldir, çok zaman alan sorguların oluşturulmasını gerektirir ve yalnızca kullanıcıya atanan nesne veya alan değerlerinin çok az kullanılması veya hiç kullanılmaması ile işlem düzeyi ile sınırlıdır. genellikle yanıltıcı sonuçlar veren işlem yoluyla. SAP gibi karmaşık sistemler için, SoD çatışmalarını ve diğer sistem etkinliği türlerini değerlendirmek ve analiz etmek için özel olarak geliştirilmiş araçların kullanılması sıklıkla tercih edilir. Diğer sistemler veya çoklu sistem formatları için, hangi kullanıcıların sistemin tüm yönlerine sınırsız erişim sağlayan süper kullanıcı erişimine sahip olabileceğini izlemelisiniz. Ayrıca, tüm işlevler için uygun olan noktaları vurgulayan bir matris geliştirmek görevlerin ayrılığı ihlal edilmesi, her çalışanın mevcut erişimlerini çapraz kontrol ederek potansiyel maddi zayıflıkların belirlenmesine yardımcı olacaktır. Bu, üretimde olduğu kadar geliştirme fonksiyonunda daha fazla değilse de önemlidir. Programları geliştiren kişilerin, onu üretime çekme yetkisine sahip kişiler olmamasını sağlamak, yetkisiz programların sahtekarlık yapmak için kullanılabilecekleri üretim ortamına girmesini önlemek için çok önemlidir.

Özet

Genel olarak iki uygulama güvenliği kavramı ve görevlerin ayrılığı Şirket verilerinin bütünlüğünü korumak ve sahtekarlığı önlemek için hem birçok yönden birbiriyle bağlantılı hem de aynı amaca sahip. Uygulama güvenliği için, hem fiziksel hem de elektronik yerinde uygun güvenlik önlemleri alarak donanıma ve yazılıma yetkisiz erişimi engellemekle ilgilidir. Görevlerin ayrılmasıyla, öncelikle bireylerin sistemlere erişiminin ve işlemenin fiziksel olarak gözden geçirilmesi ve dolandırıcılığa yol açabilecek hiçbir çakışmanın olmamasının sağlanmasıdır.

Ayrıca bakınız

• Bilgisayar Güvenliği
• Defansif bilgi işlem
• Kişisel verilerin korunmasına ilişkin 95/46 / EC sayılı Direktif (Avrupa Birliği )
• Etik hack
• Bilgi Güvenliği
• Penetrasyon testi
• Güvenlik ihlali

Referanslar

Kaynakça

• Gallegos, Frederick; Senft, Sandra; Manson, Daniel P .; Gonzales Carol (2004). Teknoloji Kontrol ve Denetim (2. baskı). Auerbach Yayınları. ISBN  0-8493-2032-1.

Dış bağlantılar

• Veri Merkezlerinin İncelenmesi
• Ağ Denetimi
• OpenXDAS projesi
• Bilgi Sistemleri ve Denetim Kontrol Derneği (ISACA)
• İç Denetçiler Enstitüsü