14.1 © 2002 by Prentice Hall Hoofdstuk 14 Beveiliging en controle van informatiesystemen

14.2 © 2002 by Prentice Hall Na dit hoofdstuk ben je in staat om: te demonstreren waarom informatie- systemen zo kwetsbaar zijn voor vernie- ling, fouten, misbruik en problemen met de kwaliteit van het systeem;te demonstreren waarom informatie- systemen zo kwetsbaar zijn voor vernie- ling, fouten, misbruik en problemen met de kwaliteit van het systeem; algemene maatregelen en applicatie- controlemiddelen voor informatie- systemen te vergelijken;algemene maatregelen en applicatie- controlemiddelen voor informatie- systemen te vergelijken;*

14.3 © 2002 by Prentice Hall Na dit hoofdstuk ben je in staat om: de speciale maatregelen te evalueren die nodig zijn om de betrouwbaar- heid, beschikbaarheid en veiligheid van e-commerce en digitale bedrijfsprocessen te garanderen;de speciale maatregelen te evalueren die nodig zijn om de betrouwbaar- heid, beschikbaarheid en veiligheid van e-commerce en digitale bedrijfsprocessen te garanderen;*

14.4 © 2002 by Prentice Hall Na dit hoofdstuk ben je in staat om: de belangrijkste technieken te omschrijven om de kwaliteit van software te garanderen;de belangrijkste technieken te omschrijven om de kwaliteit van software te garanderen; het belang van audits van informatie- systemen en kwaliteitsgaranties voor gegevens te demonstrerenhet belang van audits van informatie- systemen en kwaliteitsgaranties voor gegevens te demonstreren*

14.5 © 2002 by Prentice Hall Managementuitdagingen Kwetsbaarheid en misbruik van systeemKwetsbaarheid en misbruik van systeem Een veilige omgeving creëerenEen veilige omgeving creëeren Systeemkwaliteit garanderenSysteemkwaliteit garanderen*

14.6 © 2002 by Prentice Hall Kwetsbaarheid en misbruik van systeem Waarom systemen kwetsbaar zijnWaarom systemen kwetsbaar zijn Hackers en virussenHackers en virussen Aandachtspunten voor systeembouwers en gebruikersAandachtspunten voor systeembouwers en gebruikers Problemen rond de kwaliteit van systemenProblemen rond de kwaliteit van systemen*

14.7 © 2002 by Prentice Hall Bedreigingen voor informatiesystemen Hardwarecrashes, brand Softwarecrashes, elektrische problemen Persoonlijke acties, menselijke fouten Indringing, programmaveranderingen Diefstal van gegevens, diensten of apparatuur, telecommunicatieproblemen *

14.8 © 2002 by Prentice Hall Waarom systemen kwetsbaar zijn Complexiteit van het systeemComplexiteit van het systeem Geautomatiseerde procedures worden niet altijd gelezen of gecontroleerdGeautomatiseerde procedures worden niet altijd gelezen of gecontroleerd Rampen hebben verstrekkende gevolgenRampen hebben verstrekkende gevolgen Ongeautoriseerde toegang is mogelijkOngeautoriseerde toegang is mogelijk*

14.9 © 2002 by Prentice Hall Straling: mogelijkheden om in met recorders en microfoons in het systeem te komenStraling: mogelijkheden om in met recorders en microfoons in het systeem te komen Crosstalk: kan gegevens door de war gooienCrosstalk: kan gegevens door de war gooien Hardware: onjuiste verbindingen, circuits niet goed bewaardHardware: onjuiste verbindingen, circuits niet goed bewaard Software: slechte beveiliging, toegangscontrole, grenscontroleSoftware: slechte beveiliging, toegangscontrole, grenscontrole Bestanden: diefstal, kopiëren, ongeautoriseerde toegangBestanden: diefstal, kopiëren, ongeautoriseerde toegang* Kwetsbaarheden Kwetsbaarheden

14.10 © 2002 by Prentice Hall Kwetsbaarheden Kwetsbaarheden Gebruiker: identificatie, authenticatie, subtiele softwareveranderingenGebruiker: identificatie, authenticatie, subtiele softwareveranderingen Programmeur: controlemiddelen buiten werking of bekendgemaaktProgrammeur: controlemiddelen buiten werking of bekendgemaakt Onderhoudspersoneel: hardware buiten werking, stand-aloneprogramma’s in gebruikOnderhoudspersoneel: hardware buiten werking, stand-aloneprogramma’s in gebruik Systeembeheerder: geen contact met verantwoordelijke manager, controlemiddelen bekendgemaaktSysteembeheerder: geen contact met verantwoordelijke manager, controlemiddelen bekendgemaakt*

14.11 © 2002 by Prentice Hall Hacker: persoon die toegang krijgt tot de computer om winst te behalen, een criminale daad te stellen of voor het eigen plezierHacker: persoon die toegang krijgt tot de computer om winst te behalen, een criminale daad te stellen of voor het eigen plezier Computervirus: programma dat moeilijk te ontdekken is, zichzelf snel verspreidt, gegevens vernietigt en de verwerking en het geheugen verstoortComputervirus: programma dat moeilijk te ontdekken is, zichzelf snel verspreidt, gegevens vernietigt en de verwerking en het geheugen verstoort* Hackers en computervirussen

14.12 © 2002 by Prentice Hall Veel voorkomende computervirussen Concept, Melissa: Word-documenten, . Verwijdert bestandenConcept, Melissa: Word-documenten, . Verwijdert bestanden Form: maakt een klikkend geluid, corrupteert gegevensForm: maakt een klikkend geluid, corrupteert gegevens Explore.exe: bijlage, probeert zichzelf naar anderen te mailen. Vernietigt bestandenExplore.exe: bijlage, probeert zichzelf naar anderen te mailen. Vernietigt bestanden Monkey: Windows wil niet meer startenMonkey: Windows wil niet meer starten Chernobyl: wist de vaste schijf, ROM-BIOSChernobyl: wist de vaste schijf, ROM-BIOS Junkie: infecteert bestanden en de opstartsector en creëert geheugenconflictenJunkie: infecteert bestanden en de opstartsector en creëert geheugenconflicten*

14.13 © 2002 by Prentice Hall Antivirussoftware Software om virussen op te sporen en te verwijderenSoftware om virussen op te sporen en te verwijderen Geavanceerde versies draaien in het geheugen en beschermen terwijl de computer taken uitvoert, bescherming tegen virussen op schijven en diskettes en in binnenkomende netwerkbestandenGeavanceerde versies draaien in het geheugen en beschermen terwijl de computer taken uitvoert, bescherming tegen virussen op schijven en diskettes en in binnenkomende netwerkbestanden*

14.14 © 2002 by Prentice Hall Aandachtspunten voor systeembouwers en gebruikers RampenBeveiligingFouten*

14.15 © 2002 by Prentice Hall Verlies van hardware, software of gegevens bij een brand, elektriciteitsstoring, overstroming of andere calamiteit Verlies van hardware, software of gegevens bij een brand, elektriciteitsstoring, overstroming of andere calamiteit Fouttolerant computersysteem: back- upsystemen om systeemfoutent te voorkomen (vooral bij OLAP)Fouttolerant computersysteem: back- upsystemen om systeemfoutent te voorkomen (vooral bij OLAP)* Rampen

14.16 © 2002 by Prentice Hall Beveiliging Beleid, procedures, technische maatregelen om ongeauthoriseerde toegang, diefstal, fysieke schade aan informatiesystemen te voorkomen Beleid, procedures, technische maatregelen om ongeauthoriseerde toegang, diefstal, fysieke schade aan informatiesystemen te voorkomen*

14.17 © 2002 by Prentice Hall Voorbereiding gegevensVoorbereiding gegevens OverdrachtOverdracht ConversieConversie Invullen formulierenInvullen formulieren Online gegevens invoerenOnline gegevens invoeren Gegevensinvoer, scannen, andere inputGegevensinvoer, scannen, andere input* Waar fouten zich voordoen

14.18 © 2002 by Prentice Hall Waar fouten zich voordoen ValidatieValidatie Verwerking/bestandsonderhoudVerwerking/bestandsonderhoud OutputOutput OverdrachtOverdracht DistributieDistributie*

14.19 © 2002 by Prentice Hall Problemen met systeemkwaliteit Software en gegevensSoftware en gegevens Bugs: defecten of fouten in de programmacodeBugs: defecten of fouten in de programmacode Onderhoud: een systeem wijzigen tijdens de productiecyclus, kan tot 50% van de tijd van de analist in beslag nemenOnderhoud: een systeem wijzigen tijdens de productiecyclus, kan tot 50% van de tijd van de analist in beslag nemen Problemen met gegevenskwaliteit: problemen zoeken en corrigeren is kostbaar en duurt langProblemen met gegevenskwaliteit: problemen zoeken en corrigeren is kostbaar en duurt lang*

14.20 © 2002 by Prentice Hall 1,00 2,00 3,00 4,00 5,006,00Kosten Analyse Programmeren Postimplementatie & ontwerp Conversie Analyse Programmeren Postimplementatie & ontwerp Conversie De kosten van fouten tijdens de ontwikkelingscyclus van systemen

14.21 © 2002 by Prentice Hall Een veilige omgeving creëren Controlemiddelen: methoden, beleid en procedures om middelen te beschermen, nauwkeurigheid en betrouwbaarheid van gegevens te verzekeren en ervoor te zorgen dat managementstandaards worden gevolgd Controlemiddelen: methoden, beleid en procedures om middelen te beschermen, nauwkeurigheid en betrouwbaarheid van gegevens te verzekeren en ervoor te zorgen dat managementstandaards worden gevolgd Algemene controlemiddelenAlgemene controlemiddelen ApplicatiecontrolemiddelenApplicatiecontrolemiddelen*

14.22 © 2002 by Prentice Hall Implementatie: controlesysteem dat is ontwikkeld om ervoor te zorgen dat de juiste managementcontrole plaatsvindtImplementatie: controlesysteem dat is ontwikkeld om ervoor te zorgen dat de juiste managementcontrole plaatsvindt Software: zorgt voor de veiligheid en betrouwbaarheid van softwareSoftware: zorgt voor de veiligheid en betrouwbaarheid van software Fysieke hardware: zorgt voor fysieke beveiliging en prestaties van de hardwareFysieke hardware: zorgt voor fysieke beveiliging en prestaties van de hardware* Algemene controlemiddelen

14.23 © 2002 by Prentice Hall Computerbesturing: zorgt ervoor dat procedures consistent zijn en juist worden toegepast bij de opslag en verwerking van gegevensComputerbesturing: zorgt ervoor dat procedures consistent zijn en juist worden toegepast bij de opslag en verwerking van gegevens Gegevensbeveiliging: zorgt ervoor dat gegevensdragers worden beschermd tegen ongeauthoriseerde toegang, veranderingen en vernietigingGegevensbeveiliging: zorgt ervoor dat gegevensdragers worden beschermd tegen ongeauthoriseerde toegang, veranderingen en vernietiging Administratie: zorgt ervoor dat de controlemiddelen juist worden uitgevoerd en nageleefdAdministratie: zorgt ervoor dat de controlemiddelen juist worden uitgevoerd en nageleefd –Scheiding van functies:verant- woordelijkheid en taken scheiden * Algemene controlemiddelen

14.24 © 2002 by Prentice Hall Applicatiecontrolemiddelen InputInput VerwerkingVerwerking OutputOutput*

14.25 © 2002 by Prentice Hall Inputcontrolemiddelen Authorisatie input: controleert de brondocumentenAuthorisatie input: controleert de brondocumenten Gegevensconversie: zet de gegevens op de juiste manier om van de ene vorm in de anderenGegevensconversie: zet de gegevens op de juiste manier om van de ene vorm in de anderen Controlegetallen: telt het aantal transacties voor en na verwerkingControlegetallen: telt het aantal transacties voor en na verwerking Bewerkingscontrole: verifieert de inputgegevens en corrigeert foutenBewerkingscontrole: verifieert de inputgegevens en corrigeert fouten*

14.26 © 2002 by Prentice Hall Verwerkingscontrole- middelen Zorgen ervoor dat gegevens compleet en juist zijn tijdens de verwerking Zorgen ervoor dat gegevens compleet en juist zijn tijdens de verwerking Controlegetallen controleren: genereert een controlegetal voor en na verwerkingControlegetallen controleren: genereert een controlegetal voor en na verwerking Documentvergelijking: vergelijkt de inputgegevens met de masterbestandenDocumentvergelijking: vergelijkt de inputgegevens met de masterbestanden*

14.27 © 2002 by Prentice Hall Outputcontrolemiddelen Zorgen ervoor dat de resultaten juist en volledig zijn en goed worden verspreid Zorgen ervoor dat de resultaten juist en volledig zijn en goed worden verspreid Balans opmaken, verwerking, output van de totalenBalans opmaken, verwerking, output van de totalen Controle van de verwerkingslogsControle van de verwerkingslogs Alleen geauthoriseerde personen ontvangen de gegevensAlleen geauthoriseerde personen ontvangen de gegevens*

14.28 © 2002 by Prentice Hall Encryptie: codering van berichten zodat met niet zonder authorisatie toegang kan krijgen tot gegevensEncryptie: codering van berichten zodat met niet zonder authorisatie toegang kan krijgen tot gegevens Authenticatie: mogelijkheid om de andere partij te identificerenAuthenticatie: mogelijkheid om de andere partij te identificeren –Berichtintegriteit –Digitale handtekening –Digitaal certificaat * Beveiliging en internet

14.29 © 2002 by Prentice Hall Afzender Gecodeerd bericht Ontvanger Coderen met publieke sleutel Decoderen met privé-sleutel Encryptie met openbare sleutel Beveiliging en internet

14.30 © 2002 by Prentice Hall Digitale portefeuille: software slaat gegevens over creditcard, e-cash, identiteit en adres van eigenaar op voor e-commercetransactiesDigitale portefeuille: software slaat gegevens over creditcard, e-cash, identiteit en adres van eigenaar op voor e-commercetransacties Secure electronic transaction : standaard voor het beveiligen van creditcard- transacties via internetSecure electronic transaction : standaard voor het beveiligen van creditcard- transacties via internet* Beveiliging en internet

14.31 © 2002 by Prentice Hall Creditcard-SET: protocol voor veilig betalenCreditcard-SET: protocol voor veilig betalen Elektronisch geld (e-cash): digitaal geldElektronisch geld (e-cash): digitaal geld Elektronische cheque: gecodeerde digitale handtekeningElektronische cheque: gecodeerde digitale handtekening Smartcard: chip waarop e-cash staatSmartcard: chip waarop e-cash staat Electronisch betalen: elektronisch geld overmakenElectronisch betalen: elektronisch geld overmaken* Elektronische betalingssystemen Beveiliging en internet

14.32 © 2002 by Prentice Hall Een controlestructuur ontwikkelen Kosten: kan duur zijn om te bouwen en gecompliceerd in gebruikKosten: kan duur zijn om te bouwen en gecompliceerd in gebruik Baten: minder dure fouten, minder verlies van tijd, middelen en goodwillBaten: minder dure fouten, minder verlies van tijd, middelen en goodwill Risicoanalyse: bepaalt hoe vaak een probleem voordoet, wat de kosten en schade zijn als het probleem zich nogmaals zou voordoen Risicoanalyse: bepaalt hoe vaak een probleem voordoet, wat de kosten en schade zijn als het probleem zich nogmaals zou voordoen*

14.33 © 2002 by Prentice Hall Methoden voor het bouwen van systemen Gestructureerde methodologieënGestructureerde methodologieën Computer-aided software engineering (CASE)Computer-aided software engineering (CASE) SoftwaremetriekSoftwaremetriek*

14.34 © 2002 by Prentice Hall Gestructureerde methodologieën Top-down, stap voor stap, elke stap bouwt voor op de vorige stap Gestructureerde analyseGestructureerde analyse Gestructureerd ontwerpGestructureerd ontwerp Gestructureerd programmerenGestructureerd programmeren StroomdiagrammenStroomdiagrammen*

14.35 © 2002 by Prentice Hall Gestructureerde analyse Gestructureerde analyse Definieert systeeminput, processen en outputDefinieert systeeminput, processen en output Partitioneert het systeem in subsystemen of modulesPartitioneert het systeem in subsystemen of modules Logisch, grafisch model of informatiestroomLogisch, grafisch model of informatiestroom Stroomschema: grafische weergave van alle processen en de gegevensstroomStroomschema: grafische weergave van alle processen en de gegevensstroom*

14.36 © 2002 by Prentice Hall Symbolen voor stroomschema’s (DFD): Gegevensstroom Proces Bron Bestand

14.37 © 2002 by Prentice Hall  Rekening genereren Klant Algemene balans Genereert rapport Manager Betalings- bestand Klant- bestand Stroomschema:

14.38 © 2002 by Prentice Hall Data dictionary: vastgestelde definities van alle gegevens, zoals namen van variabelen en de typen van gegevensData dictionary: vastgestelde definities van alle gegevens, zoals namen van variabelen en de typen van gegevens Processpecificaties: beschrijft de logica van processen op moduleniveauProcesspecificaties: beschrijft de logica van processen op moduleniveau* Gestructureerde analyse Gestructureerde analyse

14.39 © 2002 by Prentice Hall Gestructureerd ontwerp Ontwerpregels en -technieken voor het ontwerpen van systemen, top-down volgens een hiërarchisch systeem Ontwerpregels en -technieken voor het ontwerpen van systemen, top-down volgens een hiërarchisch systeem StructuurdiagramStructuurdiagram Gestructureerd programmerenGestructureerd programmeren ModuleModule VolgordeconceptVolgordeconcept SelectieconceptSelectieconcept*

14.40 © 2002 by Prentice Hall Structuurdiagram op hoog niveau Brutoloon berekenen Nettoloon berekenen Loon berekenen Verwerking klokkaartjes Master- bestand bijwerken Geldige input Output schrijven Input realiseren Input valideren Output schrijven (Witte kaders zijn modules)

14.41 © 2002 by Prentice Hall Gestructureerd programmeren: Discipline om programma’s te organiseren en coderenDiscipline om programma’s te organiseren en coderen Vereenvoudigt de controlemaatregelenVereenvoudigt de controlemaatregelen Eenvoudig te begrijpen en aan te passenEenvoudig te begrijpen en aan te passen Module heeft één input en één outputModule heeft één input en één output*

14.42 © 2002 by Prentice Hall Gestructureerd programmeren: Module: logische programma-eenheid, voert een specifieke taak uitModule: logische programma-eenheid, voert een specifieke taak uit Volgordeconcept: sequentiële stappen of acties in programmalogica, stroomlijnt de stroomgegevensVolgordeconcept: sequentiële stappen of acties in programmalogica, stroomlijnt de stroomgegevens Selectieconcept: IF-conditie R is waar, THEN actie C, ELSE actie DSelectieconcept: IF-conditie R is waar, THEN actie C, ELSE actie D Iteratieconcept: WHILE-conditie is waar, DO actie EIteratieconcept: WHILE-conditie is waar, DO actie E*

14.43 © 2002 by Prentice Hall Symbolen stroomschema’s voor programma’s: Begin of eind Richting Proces Beslissing Input of output Subroutine Handmatige operatie Verbinding

14.44 © 2002 by Prentice Hall Stroomschema programma: 1 Eind afdrukken Meer? 2 Rapport 1 2 Start Lezen >€10,000 <€10,000 Proces A Proces B

14.45 © 2002 by Prentice Hall Stroomschema programma: Proces A Proces B Volgorde Proces E S Waar Iteratie Proces CProces D R Waar Selectie

14.46 © 2002 by Prentice Hall Symbolen stroomschema’s voor systemen: Document Database Onlin-weergave Telecommunicativerbinding Input/output Proces Magneetband Klokkaartje Handmatige operatie Online-opslag Online-input

14.47 © 2002 by Prentice Hall Laden en valideren Vergelijken en bijwerken Geldige transacties Loonadministratie Klokkaartjes PZ- gegevens Master- bestand Bijgewerkt master- bestand Incasso- tapes Boekhoud- bestand Loonrappor- ten en loon- strookjes Master- bestand Stroomdiagram systeem:

14.48 © 2002 by Prentice Hall Computer-aided software engineering (CASE) Automatisering van softwaremethodologieënAutomatisering van softwaremethodologieën Procedurediagrammen, scherm- en rapportgeneratoren, data dictionaries, voortgangsrapporten, analyse, controlemiddelen, code, documentatieProcedurediagrammen, scherm- en rapportgeneratoren, data dictionaries, voortgangsrapporten, analyse, controlemiddelen, code, documentatie* CASE

14.49 © 2002 by Prentice Hall Verhoogt productiviteit en kwaliteit: Ontwikkeling van meer disciplineOntwikkeling van meer discipline Verbeterde communicatieVerbeterde communicatie Opslaglocatie voor objectenOpslaglocatie voor objecten Automatisering van saaie takenAutomatisering van saaie taken Automatisering van testen en controleAutomatisering van testen en controle Organisatorische disciplineOrganisatorische discipline* Computer-aided software engineering (CASE) CASE

14.50 © 2002 by Prentice Hall MIS-audit Identificeert controlemiddelen voor informatiesystemen, analyseert de effectiviteit Identificeert controlemiddelen voor informatiesystemen, analyseert de effectiviteit Softwaremetriek: objectieve maatregelen om het systeem te analyserenSoftwaremetriek: objectieve maatregelen om het systeem te analyseren Testen: vroege, gereguleerde methode om fouten op te sporen en te reducerenTesten: vroege, gereguleerde methode om fouten op te sporen en te reduceren –Walkthrough –Debugging Gegevenskwaliteitsaudit: controleert voorbeelden van bestanden op juistheid en volledigheidGegevenskwaliteitsaudit: controleert voorbeelden van bestanden op juistheid en volledigheid*

14.51 © 2002 by Prentice Hall Hoofdstuk 14 Beveiliging en controle van informatiesystemen