• +90 212 702 00 00
  • +90 532 281 01 42
  • info@muayene.co~~V~~singular~~1st
trarbgzh-TWenfrkadefaru

Audits de sécurité

Audits de support technique
La maîtrise des technologies de l'information couvre principalement les sujets suivants : • Systèmes de gestion de bases de données (Oracle, Microsoft SQL server, Sybase et DB2) • Systèmes réseaux (pare-feux), réseaux locaux (LAN), routeurs (routeurs, commutateurs), gestion IDS/IPS et réseaux sans fil) • Systèmes d'exploitation (Microsoft Windows, Linux (Red Hat Enterprise et similaires), UNIX (Sun Solaris, HP-UX, IBM AIX, etc.) • Applications (développées pour les besoins de l'entreprise, la comptabilité, les logiciels d'entreprise tels que la planification des ressources , rapports financiers et gestion des stocks) Les audits de support technique se concentrent sur les trois premiers sujets ci-dessus. Les principaux services fournis dans le cadre des services de support technique sont les suivants : • Gestion des pare-feu (les pare-feu sont la ligne de défense la plus importante des réseaux informatiques) . / Gestion IDS (IDS signifie système de détection d'intrusion. De cette façon, on comprend qu'une attaque a été faite sur le système et la source qui a fait cette attaque est empêchée d'atteindre à nouveau le système. IPS signifie système de prévention des intrusions. Son but est d'empêcher toute activité malveillante sur le réseau). • Gestion VPN (VPN, qui signifie réseau privé virtuel, vous permet de vous connecter à Internet via une autre adresse IP. Cette application sécurise la connexion Internet et garantit que les mots de passe et les informations d'identification ne peuvent pas être trouvés lors de la connexion à n'importe quel réseau). • Gestion DLP (DLP, un système de prévention des pertes et des fuites de données, est une application de protection des données de plus en plus utilisée dans le domaine de la sécurité Internet. De cette manière, les informations indésirables peuvent être empêchées de quitter le système). • Filtrage antispam (une application pour garder les spams hors de la boîte de réception des e-mails et dans un dossier séparé). • Travail d'inventaire (il s'agit d'une étude pour faire l'inventaire de tous les logiciels et matériels qui sont connectés à un réseau particulier ou qui fonctionnent seuls). • Solutions MDM (les solutions MDM, c'est-à-dire la gestion des appareils mobiles, ont vu le jour avec l'idée que si tout ce qui est fait sur un ordinateur personnel peut être fait sur des appareils mobiles, le travail effectué au bureau peut être déplacé vers des appareils mobiles. la gestion des appareils mobiles a pris une dimension sérieuse). • Des solutions de gestion des mots de passe à privilèges (la multiplication des applications a également accru les besoins de chiffrement en termes de sécurité). Notre organisation fournit des services d'audit de support technique dans le cadre des services d'audit. Dans ces études, notre organisation opère conformément aux réglementations légales pertinentes, aux normes publiées par des organisations nationales et étrangères et aux méthodes d'audit généralement acceptées.

Audits des contrôles d'application

En termes généraux, les contrôles d'application sont l'ensemble des contrôles sur les systèmes d'application pour la régulation des données, la séparation, l'appariement et l'équilibrage des processus métier et le signalement des erreurs. En d’autres termes, les contrôles d’application sont effectués pour garantir que:

  • Les informations saisies dans le système sont précises, complètes, exactes et ont été créées uniquement par des personnes autorisées.
  • Les informations sont entrées dans le système dans un délai acceptable et de manière ciblée.
  • Les informations contenues dans le système sont complètes et exactes
  • Les sorties du système sont complètes et précises
  • Saisie des informations dans le système, stockage et impression des processus dans le système

Il existe de nombreuses méthodes utilisées pour effectuer les contrôles d'application. Par exemple, le contrôle de saisie est effectué pour vérifier l’intégrité des informations entrées dans le système et leur contamination. Ces informations peuvent être entrées directement dans le système par des employés ou par un partenaire distant, ou via Internet. Le contrôle du traitement des données est effectué pour garantir que les informations saisies dans le système sont complètes, exactes et autorisées. Des contrôles de sortie sont effectués pour déterminer comment les informations reçues du système sont utilisées. Des contrôles d'intégrité sont effectués pour s'assurer que les informations sont cohérentes et complètes. Les contrôles de piste de gestion sont effectués dans le but de suivre l'historique des applications introduites, traitées et imprimées.

Essentiellement, les contrôles d'application sont effectués dans deux directions: les contrôles préventifs et les contrôles de détection. Les deux types de contrôle d'application sont destinés à éviter les erreurs dans l'application. Toutefois, des contrôles préventifs sont effectués pour s'assurer que les informations saisies sont conformes à la logique du logiciel. Dans ce cas, seules les données correctes peuvent être entrées dans le système. Les informations incorrectes sont empêchées au moment de la saisie. Dans les contrôles déterminants, il est ensuite vérifié si les informations saisies dans le système sont appropriées du point de vue de la logique du logiciel.

Les contrôles d'application sont spécifiques à une application particulière. Cependant, les contrôles généraux des technologies de l'information sont spécifiques à l'exhaustivité, à l'exactitude et à l'exhaustivité de tous les enregistrements du système.

notre organisation fournit des services de contrôle d'application dans le cadre des services d'audit. Dans ces études, fonctionne conformément aux réglementations légales en vigueur, aux normes publiées par des organisations nationales et étrangères et aux méthodes d'audit généralement acceptées.

 

 

Audits de sécurité privés

Un audit des technologies de l’information est réalisé dans le but de s’assurer que les avantages attendus sont obtenus de l’infrastructure et des processus. Ces avantages peuvent être énumérés comme suit:

  • Dans quelle mesure l'infrastructure et les processus sont-ils capables de répondre aux besoins de l'entreprise? (Efficacité)
  • Quelle est l'efficacité des ressources utilisées? (Efficacité)
  • Dans quelle mesure la protection de la confidentialité, de l'intégrité et de la continuité des actifs informationnels est-elle assurée? (Sécurité)
  • Enfin, dans quelle mesure les réglementations légales sont-elles respectées?

L’audit informatique à réaliser est un domaine d’expertise distinct. Cependant, il ne devrait pas être complètement séparé des principes et critères généraux de l'audit; À cet égard, les audits de sécurité informatique nécessitent également un processus d'audit objectif et objectif basé sur des preuves.

Les contrôles organisationnels, techniques et de processus constituent la base des audits informatiques. En outre, les contrôles physiques assurant la protection de l’infrastructure informatique contre les failles de sécurité ne doivent pas être ignorés.

Outre ces principes généraux, il est possible de réaliser des audits de sécurité spéciaux en fonction du domaine d'activité et des conditions de service des entreprises. De nombreuses méthodes différentes peuvent être utilisées lors de ces inspections. Cependant, chaque méthode a des critères d'effet différents en soi. Certaines zones contrôlables critiques peuvent avoir des caractéristiques différentes selon les activités de Krum. Certains domaines peuvent également gagner en importance à certaines périodes en fonction de la différenciation des objectifs de l'entreprise. L'important est de réaliser ces priorités et de hiérarchiser ces différences dans la planification de l'audit.

Différentes applications et normes peuvent être appliquées aux audits de technologies de l'information. Par exemple,

·         COBIT (Objectifs de contrôle pour l'information et les technologies connexes)

·         TS ISO / IEC 27001 Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences

·         TS ISO / IEC 27002 Technologies de l'information - Techniques de sécurité - Principes d'application pour les contrôles de sécurité de l'information

·         PRINCE (Projets en environnements contrôlés)

·         CMMI (Intégration du modèle de maturité de capacité, Intégration du modèle de maturité de capacité)

·         ITIL (bibliothèque d'infrastructure de technologie de l'information)

 

notre organisation dans le cadre des services d'audit. Dans ces études, fonctionne conformément aux réglementations légales en vigueur, aux normes publiées par des organisations nationales et étrangères et aux méthodes d'audit généralement acceptées.

Audits généraux des contrôles informatiques

L'exécution manuelle de processus métier dans une entreprise entraîne la préparation d'états financiers incorrects, d'un nombre plus élevé d'employés, de risques opérationnels chaque jour plus importants, ainsi que de comportements malveillants éventuels. Par conséquent, il est extrêmement important de disposer d’une infrastructure informatique solide et de mettre en place un environnement de contrôle solide afin d’accroître le pouvoir des entreprises.

De manière générale, les contrôles généraux des technologies de l’information dans les entreprises sont importants à divers égards. De cette manière, les contrôles et les processus métier basés sur le système sont pris en charge et les risques financiers et opérationnels minimisés. En outre, l'efficacité des contrôles et des processus connectés au système a été améliorée et, surtout, une assurance leur a été fournie. De plus, l'intégrité, l'exhaustivité et la précision des informations sont assurées.

En général, les contrôles généraux des technologies de l’information se concentrent en trois étapes. L'inspection de ces zones consiste à identifier les points de contrôle et à tester l'efficacité de ces points de contrôle. Ces champs sont:

  • Accès aux données (la sécurité de l'information, l'autorisation, l'accès physique, la gestion de l'accès et les processus de surveillance sont contrôlés dans cette zone)
  • Développement de programmes et d'applications (les méthodes de développement d'applications, la transformation de données, le développement, les tests, les processus d'approbation et d'application sont contrôlées dans ce domaine)
  • Modifications logicielles (développement, test et approbation de logiciels, transfert de logiciels dans un environnement de production, travaux de configuration et processus de modifications urgentes contrôlés dans ce domaine)
  • Opérations de technologie de l'information (le suivi des opérations, les opérations de sauvegarde et de retour et les processus de gestion des problèmes sont contrôlés dans ce domaine)

Les contrôles généraux effectués sur les technologies de l’information ont des effets positifs sur les processus d’entreprise. Aujourd'hui, ces contrôles constituent le pilier des processus métier. Si ces contrôles généraux ne sont pas renforcés, il est difficile de s’appuyer sur des contrôles et des processus basés sur un système sous la supervision d’un processus d’entreprise. Les contrôles généraux garantissent l'intégrité, la précision et l'exhaustivité des données stockées dans les systèmes. Par conséquent, tous les processus d’entreprise utilisant le système sont affectés par les contrôles généraux des technologies de l’information.

notre organisation dans le cadre des services d'audit fournit des contrôles généraux des technologies de l'information. Dans ces études, fonctionne conformément aux réglementations légales en vigueur, aux normes publiées par des organisations nationales et étrangères et aux méthodes d'audit généralement acceptées.

 

 

Audits Cobit

COBIT signifie «objectifs de contrôle pour l'information et les technologies connexes» en anglais et signifie «objectifs de contrôle pour l'information et les technologies connexes». Les entreprises opérant dans le domaine des technologies de l'information développent un modèle de gestion des technologies de l'information et tentent de protéger les actifs de leurs activités. Cependant, COBIT n'est pas seulement un outil de contrôle, mais plutôt un outil de gestion. Néanmoins, il se concentre davantage sur la supervision. De cette manière, il vise à offrir des avantages pour l’existence et le succès de l’entreprise, du personnel de direction des entreprises aux employés dans le domaine des technologies de l’information.

L’importance de la COBIT, en particulier dans le secteur financier de notre pays, a été reconnue et a été constatée dans de nombreux domaines ces dernières années. COBIT définit les objectifs à atteindre dans la gestion des technologies de l'information. COBIT offre un cadre couvrant toutes les fonctions informatiques. COBIT comprend quatre groupes de domaines de processus et processus 34, qui couvrent tous la gestion informatique. En fait, COBIT se concentre sur la gestion de la technologie de l’information et non sur ses processus. Il a été publié pour la première fois dans COBIT 1996.

Pour la première fois dans notre pays, certaines banques ont été soumises à un audit spécial basé sur COBIT effectué par BRSA. Ce type d’audit a été étendu à toutes les banques sous 2006 et était obligatoire. Il est maintenant répété une fois tous les deux ans. Bien qu'il y ait eu quelques problèmes dans le passé, les banques gèrent aujourd'hui leurs processus informatiques conformément à cette norme et les gèrent de manière plus efficace.

En fait, avant même que la BRSA ne le stipule, certaines banques géraient leurs processus informatiques conformément à COBIT. Cependant, les opérations bancaires ne sont pas le seul domaine d'application de COBIT. De nombreuses entreprises des secteurs financier et manufacturier utilisent COBIT pour la gestion des processus.

L’audit des processus informatiques n’est plus un domaine de l’ingénierie basé sur les technologies de l’information; il inclut la comptabilité et les rapports dans le cadre de la science des affaires. L'audit indépendant à réaliser conjointement avec l'audit des technologies de l'information devient plus important, en particulier lorsque la vie commerciale devient plus fiable et que les évolutions du secteur bancaire sont prises en compte.

 

notre organisation Audits COBIT dans le cadre des services d'audit. Dans ces études, fonctionne conformément aux réglementations légales en vigueur, aux normes publiées par des organisations nationales et étrangères et aux méthodes d'audit généralement acceptées.

Plus d'articles ...

  1. Audits et certification PCI DSS
  2. Tests de pénétration

Services de certification