1 / 17

Automatisering opsporen bressen in access controls met steekproef als sluitstuk

Automatisering opsporen bressen in access controls met steekproef als sluitstuk. Crist-Jan Doedens - Rijksauditdienst medeauteurs: Arjan Hassing - Ernst & Young Jacques de Swart - PricewaterhouseCoopers. Inhoud. kader > wat is auditing? > hoe audit je efficiënt veel van hetzelfde?

josiah
Download Presentation

Automatisering opsporen bressen in access controls met steekproef als sluitstuk

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Automatisering opsporen bressen in access controls met steekproef als sluitstuk Crist-Jan Doedens - Rijksauditdienst medeauteurs: Arjan Hassing - Ernst & Young Jacques de Swart - PricewaterhouseCoopers 10 juni 2009 - Symposium Statistical Auditing

  2. Inhoud • kader> wat is auditing?> hoe audit je efficiënt veel van hetzelfde? • voorbeeld> opsporen van conflicterende autorisaties over systemen heen • conclusie 10 juni 2009 - Symposium Statistical Auditing

  3. Wat is auditing? auditing meet kwaliteit bij een proces invoer: informatie, goederen en energie procesbewerking door: mensen en kapitaalgoederen uitvoer: informatie, goederen en energie auditing is een toegevoegde, externe, vorm van kwaliteitsbewaking. nodig waar eigen QA tekort schiet 10 juni 2009 - Symposium Statistical Auditing

  4. Hoe audit je efficiënt veel van hetzelfde? • geautomatiseerd met de computer • met een steekproef • het voorbeeld laat een combinatie van beide manieren zien 10 juni 2009 - Symposium Statistical Auditing

  5. Voorbeeld opsporen van conflicterende autorisaties over automatiseringssystemen heen • bij een instelling met 100+ automatiseringssystemen, en 10.000+ medewerkers • scheiding van functies soms afgedwongen per systeem, niet over systemen heen • mogelijkheid dumpen autorisaties per systeem 10 juni 2009 - Symposium Statistical Auditing

  6. Onderwerp van controle? de gecombineerde dumps van autorisaties uit de systemen: de IST-lijst. • 100+ systemen • 1000+ onvergelijkbare rollen • 1.000.000+ toewijzingen van rollen aan medewerkers 10 juni 2009 - Symposium Statistical Auditing

  7. Welke norm moeten we gebruiken? • welke systemen zijn er? • welke rollen zijn er per systeem? • welke muteerrollen zijn per systeem relevant? • welke combinaties van systeem+muteerrol zijn risicovol? 10 juni 2009 - Symposium Statistical Auditing

  8. Uitkomst • een SOLL-matrix • met 100+ rollen • sommige combinaties van deze rollen zijn in 1 persoon samengenomen risicovol 10 juni 2009 - Symposium Statistical Auditing

  9. SOLL-matrix systemen + rollen waar conflicteert staat een nummer voor het type conflict systemen + rollen 10 juni 2009 - Symposium Statistical Auditing

  10. Het plan SOLL-matrix + IST-lijst -> lijst van conflicterende autorisaties per medewerker 10 juni 2009 - Symposium Statistical Auditing

  11. Hoe controle uitvoeren? met een computerprogramma. • 1000 regels SAS • zelfschrijvend: maakt 20.000 regels extra programmacode uit SOLL-matrix • draait ongeveer 4 uur op een PC 10 juni 2009 - Symposium Statistical Auditing

  12. Achter de schermen bouwen vergelijkingscode uit SOLL draaien vergelijkingscode uit SOLL omzetten conflicten naar excel overzichten maken 10 juni 2009 - Symposium Statistical Auditing

  13. Wat komt er uit? • validatie SOLL-matrix • lijst van risicovolle combinaties van rollen • lijst met aantal conflicten per gebruiker • lijst met aantal conflicten per verbodspaar 10 juni 2009 - Symposium Statistical Auditing

  14. Resultaat roept vragen op • kloppen de resultaten, kunnen we vertrouwen op:IST, SOLL, programma? • wat is het frauderisico per combinatie • welke compenserende maatregelen zijn er? • hoe is een risicovolle combinatie onstaan? • wat vindt de onderzochte organisatie? 10 juni 2009 - Symposium Statistical Auditing

  15. Hoe beantwoorden? vraag: hoe evalueer je een groot aantal autorisatieconflicten? antwoord: met een steekproef! getrokken een gestratificeerde maar niet aselecte steekproef 10 juni 2009 - Symposium Statistical Auditing

  16. Vervolgstappen • volledige beoordeling van alle risicovolle combinaties • per kwartaal SOLL en IST confronteren • de SOLL-matrix blijven aanscherpen • meer systemen opnemen in IST 10 juni 2009 - Symposium Statistical Auditing

  17. Conclusie voor dit voorbeeld was de volgende aanpak succesvol: • basisbestand met nagenoeg alle autorisaties, de IST-tabel • risicovolle combinaties van autorisaties benoemen, de SOLL-matrix • confronteren van SOLL en IST • met een steekproef de reden en het risico bepalen voor de massa van gevonden risicovolle combinaties 10 juni 2009 - Symposium Statistical Auditing

More Related