Sécurité et audit du système

Audit système

Il s'agit d'une enquête pour examiner les performances d'un système opérationnel. Les objectifs de la réalisation d'un audit système sont les suivants:

  • Pour comparer les performances réelles et prévues.

  • Vérifier que les objectifs déclarés du système sont toujours valables dans l'environnement actuel.

  • Évaluer l'atteinte des objectifs énoncés.

  • Assurer la fiabilité des informations financières et autres informatisées.

  • Pour s'assurer que tous les enregistrements sont inclus lors du traitement.

  • Pour assurer la protection contre les fraudes.

Audit de l'utilisation du système informatique

Les auditeurs du traitement des données auditent l'utilisation du système informatique afin de le contrôler. L'auditeur a besoin de données de contrôle qui sont obtenues par le système informatique lui-même.

L'auditeur système

Le rôle de l'auditeur commence au stade initial du développement du système afin que le système résultant soit sécurisé. Il décrit une idée d'utilisation du système qui peut être enregistrée, ce qui aide à planifier la charge et à décider des spécifications matérielles et logicielles. Il donne une indication de l'utilisation rationnelle du système informatique et d'une éventuelle mauvaise utilisation du système.

Essai d'audit

Un essai d'audit ou un journal d'audit est un enregistrement de sécurité qui comprend qui a accédé à un système informatique et quelles opérations sont effectuées pendant une période de temps donnée. Les essais d'audit sont utilisés pour effectuer un suivi détaillé de l'évolution des données du système.

Il fournit des preuves documentaires des différentes techniques de contrôle auxquelles une transaction est soumise au cours de son traitement. Les essais d'audit n'existent pas indépendamment. Ils sont réalisés dans le cadre de la comptabilisation de la récupération des transactions perdues.

Méthodes d'audit

L'audit peut être effectué de deux manières différentes -

Audit autour de l'ordinateur

  • Prenez des exemples d'entrées et appliquez manuellement les règles de traitement.
  • Comparez les sorties avec les sorties de l'ordinateur.

Audit via l'ordinateur

  • Mettre en place un essai d'audit qui permet d'examiner les résultats intermédiaires sélectionnés.
  • Les totaux de contrôle fournissent des vérifications intermédiaires.

Considérations d'audit

Les considérations d'audit examinent les résultats de l'analyse en utilisant à la fois les récits et les modèles pour identifier les problèmes causés par des fonctions mal placées, des processus ou des fonctions fractionnés, des flux de données interrompus, des données manquantes, un traitement redondant ou incomplet et des opportunités d'automatisation non traitées.

Les activités de cette phase sont les suivantes -

  • Identification des problèmes environnementaux actuels
  • Identification des causes du problème
  • Identification de solutions alternatives
  • Évaluation et analyse de faisabilité de chaque solution
  • Sélection et recommandation de la solution la plus pratique et la plus appropriée
  • Estimation des coûts du projet et analyse coûts-avantages

Sécurité

La sécurité du système fait référence à la protection du système contre le vol, les accès et modifications non autorisés et les dommages accidentels ou non intentionnels. Dans les systèmes informatisés, la sécurité consiste à protéger toutes les parties du système informatique, y compris les données, les logiciels et le matériel. La sécurité des systèmes comprend la confidentialité et l'intégrité du système.

  • System privacy traite de la protection des systèmes individuels contre l'accès et l'utilisation sans la permission / connaissance des personnes concernées.

  • System integrity se préoccupe de la qualité et de la fiabilité des données brutes et traitées dans le système.

Des mesures de contrôle

Il existe une variété de mesures de contrôle qui peuvent être globalement classées comme suit -

Sauvegarde

  • Sauvegarde régulière des bases de données quotidienne / hebdomadaire en fonction de la criticité du temps et de la taille.

  • Sauvegarde incrémentielle à des intervalles plus courts.

  • Copies de sauvegarde conservées dans un emplacement distant sûr, particulièrement nécessaire pour la reprise après sinistre.

  • Les systèmes en double s'exécutent et toutes les transactions sont mises en miroir s'il s'agit d'un système très critique et ne peut tolérer aucune interruption avant le stockage sur disque.

Contrôle d'accès physique aux installations

  • Verrous physiques et authentification biométrique. Par exemple, empreinte digitale
  • Les cartes d'identité ou les laissez-passer sont vérifiés par le personnel de sécurité.
  • Identification de toutes les personnes qui lisent ou modifient des données et les enregistrent dans un fichier.

Utilisation du contrôle logique ou logiciel

  • Système de mot de passe.
  • Crypter les données / programmes sensibles.
  • Former les employés sur le traitement / traitement des données et la sécurité.
  • Logiciel antivirus et protection par pare-feu lorsque vous êtes connecté à Internet.

Analyse de risque

Un risque est la possibilité de perdre quelque chose de valeur. L'analyse des risques commence par la planification d'un système sécurisé en identifiant la vulnérabilité du système et son impact. Le plan est ensuite élaboré pour gérer le risque et faire face à la catastrophe. Il est fait pour accéder à la probabilité de catastrophe possible et à leur coût.

L'analyse des risques est un travail d'équipe d'experts avec des antécédents différents tels que les produits chimiques, l'erreur humaine et l'équipement de traitement.

Les étapes suivantes doivent être suivies lors de l'analyse des risques -

  • Identification de tous les composants du système informatique.

  • Identification de toutes les menaces et dangers auxquels chacun des composants est confronté.

  • Quantifier les risques, c'est-à-dire évaluer la perte dans le cas où les menaces deviennent réalité.

Analyse des risques - principales étapes

Étant donné que les risques ou les menaces évoluent et que les pertes potentielles évoluent également, la gestion des risques doit être effectuée périodiquement par les cadres supérieurs.

La gestion des risques est un processus continu et comprend les étapes suivantes -

  • Identification des mesures de sécurité.

  • Calcul du coût de mise en œuvre des mesures de sécurité.

  • Comparaison du coût des mesures de sécurité avec la perte et la probabilité des menaces.

  • Sélection et mise en œuvre des mesures de sécurité.

  • Examen de la mise en œuvre des mesures de sécurité.