IT Auditors

Introduction to ITIL

2011-02-15T11:40:00.000-05:00

Glenfis proposes a set of 4 free e-learning tutorials to have a first glance at ITIL.
The entire Web site also offers interesting links and documents on the subject in English and German.
Don't hesitate to have a look at Glenfis!

Auditing the billing domain

2010-04-14T12:23:00.002-04:00

Here is a list of topics for an audit in the billing domain. The goal is to realize and end-to-end picture of the billing system, its integration with CRM and sales systems and processes:

Customer management:
- Customer risk management
- Introduction of new customers
- Debtors management
- Account management and customer complaints

Invoicing services:
- Rating
o Introduction of prices and Price models
o Discounts
- Billing
o Errors
o Corrections
- Invoicing
o Layout
o Production

Products:
- Introduction of new products
- Product structures, and processes to change product structures
- Price manual and implementation along billing processes

Controlling framework
- ICS or SOX controls
- Revenue assurance

Architecture:
- IT architecture of Fulfillment, Billing and production systems (incl. interface to 3rd parties)
- Roadmap and evolution of the billing system
- Strategy regarding future products
- Interfaces between CRM and billing systems

Compliance to regulatory requirements regarding:
- Telecommunications law
- Anti-trust law
- Privacy law

Data: match data between:
- Invoices
- Contracts: Customers – services – prices - discounts
- Accounts receivable

Invoices production:
- Quality of produced invoices
- Review of 3rd party certifications: ISO certifications or SAS 70 reports

Security Policy for the use of Handheld Devices in a Corporate Environment

2008-09-11T16:07:00.007-04:00

Available since June 2008 in the SANS Reading Room:

http://www.sans.org/reading_room/whitepapers/pda/32823.php

ISSAF: Information Systems Security Auditing Framework

2008-02-17T07:03:00.003-05:00

From the Open Information Systems Security Group's Web site:
"The ISSAF is OISSG's flagship project. It is an effort to develop an end-to-end framework for security assessment. The ISSAF aims to provide a single point of reference for professionals involved in security assessment; it reflects and addresses the practical issues of security assessment. The ISSAF is an evolving framework and it will be further amended and updated."

After a quick look at the document, my first impression is:
- it is a bible (1300 pages)
- it takes into account both Methodologies and Practical Assessment procedures and use of most known tools for auditing
- checklists and questionnaires are provided as well
- it's FREE!

So, no reason not to download it!

L'intelligence économique, moteur de compétitivité de votre entreprise - Maîtrise et protection de l'information stratégique

2008-01-14T16:10:00.000-05:00

Conférence du Commandant Eric Jaillet,

chargé de communication à la Direction de la Surveillance du Territoire (DST) à Lyon
chargé de cours en Sécurité des Systèmes d’Information auprès des universités et grandes écoles.

La maîtrise de l'information, enjeu de sécurité économique

Parallèlement à de ses traditionnelles missions de contre-espionnage et de contre-terrorisme, la Direction de la Surveillance du Territoire (DST) qui relève du Ministère de l'Intérieur, développe une action de protection du patrimoine industriel, commercial et scientifique.

Les enjeux de cette mission sont la compétitivité économique et la préservation de l'emploi .

Dans un contexte de globalisation et de déréglementation, les entreprises françaises (grands comptes ou PME/PMI) peuvent compter sur la DST pour les aider à faire face aux attaques déloyales de la concurrence étrangère.

Mais, dans un monde communiquant où la priorité est donnée à l'information, protéger ce patrimoine (R&D, savoir-faire, stratégie commerciale, etc.) ce n'est pas le dissimuler, le confiner, mais bien au contraire le faire fructifier par le jeu de transactions judicieuses tout en veillant à ne jamais s'en laisser déposséder.

Les systèmes destinés à l'échange et au stockage de l'information se trouvent naturellement au cœur de la problématique et de leur maîtrise dépend étroitement le niveau de sécurité économique de l'entreprise.

Dans une telle dynamique où l'ouverture se doit d'être constamment vigilante, il convient que chaque dépositaire d'une parcelle de ce patrimoine soit sensibilisé aux risques existants :

1. Actions d'ingérence économique menées par des services de renseignement étrangers ; l'espionnage industriel figurant souvent parmi leurs nouvelles missions. Or actuellement près de 80 % du renseignement est issu de sources dites « techniques » ou SIGINT (Signal Intelligence) qui peuvent aller jusqu'à des agressions informatiques ciblées.

2. Actions offensives des officines de renseignement privées dont le nombre croît régulièrement et qui parfois n'hésitent pas à profiter des faiblesses du système supportant l'information convoitée ou de l'imprudence du possesseur d'un PC portable...

3. Actions, rarement illégales mais souvent dolosives pour qui ne contrôle pas sa communication, des cellules d'Intelligence Economique et Stratégique qui utilisent de plus en plus les NTAI (nouvelles technologies d'analyse de l'information) pour capter les informations à valeur ajoutée que la concurrence laisse filtrer imprudemment.

4. Actions menées par les acteurs de la « cyberdélinquance », les pirates informatiques, dont l'essentiel du coût direct ou indirect est supporté par les entreprises. A noter que certains pirates peu scrupuleux vont jusqu'à louer ponctuellement leurs services à des officines de renseignement privées.

5. Actions liées au crime organisé, comme : vol de matériel, contrefaçon, racket, corruption, blanchiment d'argent, etc.

Une attention toute particulière sera portée aux secteurs stratégiques dans les domaines des technologies de souveraineté et au-delà, à tous les secteurs innovants et/ou particulièrement exposés à la concurrence internationale (cf. www.tc-2010.fr ).

Globalement, un progrès significatif doit être réalisé en matière de sécurité des systèmes d'information, les vulnérabilités intrinsèques de ces outils constituant une des faiblesses majeures de l'entreprise, de plus en plus dépendante à leur égard.

Ces vulnérabilités résultent de la combinaison de facteurs humains et de facteurs techniques.

Les facteurs humains reposent essentiellement sur le comportement inadapté des utilisateurs qui fragilisent le système d'information par leur ignorance, leur inconscience ou leur naïveté : mauvaise gestion et divulgation des mots de passe, défaut de vigilance vis-à-vis des PC portables, usage inapproprié de la messagerie pour échanger « en clair » des données sensibles, etc.

Les facteurs techniques reposent sur une accumulation de strates fragiles : systèmes d'exploitation présentant tous de nombreuses failles, idem concernant les protocoles les plus courants (TCP-IP / IPV4) et les logiciels applicatifs (bugs…), mauvaise administration des serveurs et pratiques dangereuses des utilisateurs finaux.

A défaut de leur prise en compte, les risques qui pèsent sur les systèmes d'information de l'entreprise vont atteindre un niveau incompatible avec une bonne gestion.

Une attention particulière doit être portée aux points suivants :

L'intégrité des données

La perte totale ou partielle de ses informations est une menace qui pèse au quotidien sur l'entreprise, que cette perte soit d'origine accidentelle ou criminelle.

Il convient de mettre en place des procédures de sauvegarde en veillant tout particulièrement à prendre en compte les données qui se trouvent stockées sur les disques durs des PC portables et des postes de travail (se sont souvent les plus pertinentes et elles échappent trop souvent au champ de la sauvegarde institutionnelle qui ne concerne que les serveurs…).

Attention également à ne pas mettre « tous ses œufs dans le même panier », c'est-à-dire à ne pas conserver les supports de sauvegarde trop près des originaux !

La disponibilité

La disponibilité est la capacité à pouvoir accéder aux informations en temps utile. L'optimisation des TIC pour améliorer la compétitivité de l'entreprise (travail collaboratif, flux tendus, accélération des échanges, etc.) a considérablement accru son niveau de dépendance et ses exigences en matière de disponibilité. Corrélativement, dans le prolongement naturel de la qualité et de la continuité de service, il convient d'accorder plus d'attention à la sécurité des systèmes d'information qui concourt naturellement à garantir un haut niveau de disponibilité.

L'authentification ou non répudiation des échanges électroniques

Les entreprises utilisent de plus en plus fréquemment les outils de messagerie électronique pour échanger des documents contractuels et commerciaux qui sont susceptibles d'engager la responsabilité de l'expéditeur et parfois du destinataire (réponse à un appel d'offres, bon de commande, bon de livraison, facture, devis, etc.). En cas de contestation, toujours possible entre tiers contractants, un document électronique standard n'a strictement aucune valeur juridique et n'ouvre droit à aucun recours…

Pour donner force probante à un document électronique, il convient de le signer électroniquement avec un certificat de signature électronique conforme à la loi française qui en régit l'usage (cf. art. 1316-4 du Code Civil).

La confidentialité des données

Les données jugées confidentielles, c'est-à-dire celles qui sont de nature à être convoitées par une tierce partie dans le contexte actuel d'hyperconcurrence, qu'elles soient de nature scientifique, technique, stratégique, financière ou commerciale, sont aujourd'hui pratiquement toujours numérisées, stockées sur des mémoires et échangées en réseau. Si l'on ne renforce pas significativement les niveaux de sécurité autour de ces données on s'expose à ce qu'elles soient compromises…

Il convient de les protéger en lecture, en copie et en modification.

La confidentialité est à prendre en compte vis-à-vis d'une menace externe à l'entreprise, mais aussi vis-à-vis d'une menace interne. N'oublions pas que 57% des actes de malveillance informatique sont d'origine interne !

Il convient donc de cloisonner l'information et de tenir compte du « besoin d'en connaître ».

La protection de l'image de l'entreprise

L'image fait aujourd'hui partie des éléments essentiels d'un fonds de commerce et les technologies de l'information et de la communication sont souvent mises à contribution pour porter une image positive et moderne : site web, portail, commerce électronique de type B to B ou B to C, etc.

Si l'on ne sécurise pas ces outils de communication, on s'expose à des actions qui peuvent les dégrader (modification de contenu ou blocage de site web, divulgation de numéros de CB de la clientèle) et venir ternir l'image de leur exploitant.

·Risques juridiques

Citons pêle-mêle quelques risques de nature juridique :

– Non respect de la protection des données à caractère personnel

– Utilisation de logiciels sans licence

– Diffusion de fichiers illicites (Warez)

---

Le déficit des sociétés françaises en matière de S.S.I. étant patent et persistant, malgré des efforts régulièrement consentis, on est en droit de s'interroger sur le bien-fondé des mesures de sécurité adoptées.

L'importance stratégique de la maîtrise de l'information mérite sans doute qu'on lui accorde plus d'attention, c'est-à-dire davantage de temps et de moyens, mais surtout que la question soit appréhendée sous un tout autre angle.

Une accumulation d'outils dédiés à la sécurité (logiciels antivirus, pare-feu et autres proxies), aussi indispensables soient-ils, n'a jamais constitué une politique de S.S.I., or c'est bien de cela qu'il s'agit.

Une telle démarche, véritable projet transversal d'entreprise, comparable à la qualité, ne peut trouver son origine et sa légitimité qu'au travers une volonté bien affirmée et constante dans le temps de la Direction Générale.

Une bonne politique de S.S.I. sera composée, pour les trois quarts, de mesures organisationnelles (procédures, règles contractuelles, sensibilisation et formation des utilisateurs, etc.) et, pour le quart restant, de mesures purement techniques.

La réussite d'un tel projet managé rial, passe par la désignation d'un responsable de la sécurité des systèmes d'information (R.S.S.I.), directement rattaché à la Direction Générale et surtout, indépendant du service informatique.

Contact DST en Rhône-Alpes : 04.78.66.67.00

-----------------------------------------------
Conférence présentée par:

Security policy for the use of handheld devices in corporate environments

2007-11-28T10:25:00.000-05:00

The purpose of this security policy is to establish an authorized method for using handheld devices in a corporate environment.

Note that this policy does not target a defined business, and remains very general. Consequently, many points provided depend on the business environment and need to be set up according to a right balance between device and services usability, business needs and security.

Introduction: Security Challenges & Threats to handheld devices

Handhelds are subject to the same types of vulnerabilities that affect laptops. Furthermore, as handhelds are smaller and lighter, such devices are more subject to loss and theft, according to various studies from cab companies and airports; those places tend to be the preferred ones for losing devices. Hence, the most predominant weaknesses affecting handheld devices include:

Loss or theft of the physical device
Viruses, Trojans, and worms
Data theft
Mobile code exploits
Authentication theft
Wireless exploits
Denial of service attacks

All of these vulnerability areas are unique and specific to the type of operating system that runs on a device, as different platforms offer different vulnerabilities that require mitigation by unique and appropriate safeguards.

While handheld devices are probably more likely to be a carrier of viruses, than the actual target of a directed attack, it is possible through automated port scans for hackers to identify mobile devices that they can attack directly. Though currently the likelihood of a directed attack may not be high, as Wi-Fi and CDMA (cellular) access becomes more available it can be expected that these types of attacks will increase. When used in standalone mode, and not connected to any types of networks, handheld devices have no vulnerability at all to direct attacks.

1. General part

1.1. Statement of purpose
1.2. Scope
1.3. Roles & responsibilities
- Should the employees be kept responsible for their handheld?
- Should private handheld devices access corporate networks and resources?
- Unauthorized actions, such as violating the policies and their consequences.
1.4. User awareness training

Employees should sign the security policy.
Employees should get trained in order to properly use both the device and the available services.

1.5. Policy enforcement
- Live inventory of connected devices.
- Monitoring devices configuration and be able to modify it according to policies.
- Authorized / Unauthorized services.
- Access to corporate resources according to internal data classification.

2. Physical security

Ownership information should be provided, if someone tries to return the lost device back.
Procedure in case of lost device.
- Call the IT department or helpdesk, possibly to a dedicated number.
Passwords policy.
Device lockout.
SIM card pin (reduce risk of sim cloning and issues when sim is stolen).
Remote device management capabilities: block and/or wipe data on device.

3. Operating System security

Firmware updating and patching.
Device’s operating system hardening.
Patches & updates.
Removing unneeded services and applications.

FTP.
Internet file-sharing.

Certificates management.

4. Applications security

Authorized applications to be installed

Prohibit installation of unsigned applications.

Possibly allow installation of third-party signed applications.

Allow installation of enterprise / operator signed applications.

Antivirus policy.
Firewall policy.
Email policy
Email signatures.

Email encryption.

5. Data security & Access to corporate networks

Information classification policy and its application to handheld devices

Define what documents are allowed to be stored on the device

Data storage

Enabling / Disabling data encryption on device
Enabling / Disabling data encryption on MMC (MultiMedia Card)

Data backup

Backup frequency
Backup according to access method

Access to corporate networks

Allow / Refuse access to corporate networks through WLAN
Allow access to corporate networks only using sync software

6. Bluetooth security

Enabling / disabling Bluetooth support

Enabling / disabling Bluetooth dial-up modem support?
Enabling / disabling Bluetooth beam support

Bluetooth version control
Enabling / disabling auto-discovery function

Possibly using a timer?
Possibly using a password?

Enforcing pairing

Possibly with strong key / passphrase

Enabling / Disabling Bluetooth traffic encryption?
Definition of unauthorized use of Bluetooth services

7. Over-The-Air provisioning security

Securing OTA communications

Push Proxy gateway filtering
Push messages authentication

Service Indication / Service loading policies

8. Synchronization security

Antivirus policy

Desktop PC antivirus up-to-date (engine and virus definitions)
Handheld antivirus up-to-date (engine and virus definitions)

Run an antivirus scan before connecting to desktop PC
Disable WLAN support while connected to desktop PC

References

Mobile Device Management (Wikipedia)

Cleaning your personal computer

2007-11-28T05:45:00.000-05:00

Here is a list of applications I use frequently to scan and remove infections:

HijackThis:
This tool scans running processes, registry keys, browser helper objects (BHOs) and other stuff. You can supply your log file to the website where it can be analyzed, providing user ratings on known applications.
http://www.hijackthis.de

SmitFraudFix:
This tool removes Desktop Hijack malware.

Spybot - Search & Destroy:
Detects and removes spyware, a kind of threat not yet covered by common anti-virus applications.
http://www.safer-networking.org/

Comodo Personal Firewall

2007-11-24T12:34:00.000-05:00

I was looking for a good firewall for Windows computers, with a granularity up to iptable rules under Linux. I formerly used protect my computers with Sygate personal firewall. But since Sygate has been acquired by Symantec, they do not provide free personal firewall anymore.
The result of the acquisition of Sygate by Symantec is this shitty Norton Internet Security, the most intrusive software I ever used.

And then, it was there: Comodo Personal Firewall

This tool is FREE, and is far more powerful than Sygate used to.

Main features (from the Web site and modified):

Constantly monitors and defends PCs from internet attacks
Gain complete control over which programs are allowed internet access
Applications monitoring: exe, libraries, dependencies
Easy port mapping
Host Intrusion Prevention System can stop malware ever being installed
Automatic online updates Service
Real time traffic monitoring enables to react instantly to threats and identify bandwidth bottlenecks.
Easy to use interface and quick setup
No license fee - complete protection at no cost for networks and home users

However, default options make it intrusive: unknown or suspicious files are automatically submitted to Comodo servers for analysis. The way Comodo's engine defines suspect files is still unclear to me yet.

My advice:
- Install it if you are an experimented user
- Take time to setup options
- Disable unneeded services: Submitting suspicious to Comodo servers (privacy purposes!)