Textbook Notes (369,153)
Canada (162,424)
Commerce (1,701)
Chapter 8&13

Info Systems - Chapter 8&13.docx

12 Pages

Course Code

This preview shows pages 1,2 and half of page 3. Sign up to view the full 12 pages of the document.
CHAPTER EIGHT – SECURING INFORMATION SYSTEMS Systems Vulnerability and Abuse • Security: policies, procedures, technical measures used to prevent unauthorized  access, alteration, theft, physical damage • Controls: methods, policies, organizational procedures that ensure safety of  organization’s assets Why Systems Are Vulnerable • Large amounts of data stored in electronic form are more vulnerable than when  stored in manual form • Info systems in different locations are interconnected • Unauthorized access, abuse, fraud can occur at any access point in network • People capable of penetrating corporate systems can destroy/alter corporate data  stored in databases or files • Computer systems can be disrupted by: o Criminal acts o Improper use o Errors in programming o Power failures, floods, fires, etc. • Mobile devices increase risk because can be lost or stolen • Internet Vulnerabilities: o Internet makes info systems even more vulnerable to actions from  outsiders o More open to penetration by outsiders because use fixed internet address o Fixed internet address creates a fixed target for hackers o Hackers can listen in to VoIP conversations since public internet is not  encrypted o Vulnerability increased due to widespread of email, IM, file­sharing o Gmail and Hotmail do not have same level of security as corporate email  systems • Wireless Security Challenges: o Bluetooth and Wi­Fi networks are susceptible to hacking by eavesdroppers o Hackers can use tools to detect unprotected networks, monitor network  traffic and gain access to corporate networks o Wireless networks in most locations cannot protect against war driving o War driving: eavesdroppers drive by buildings or park outside and try to  intercept wireless network traffic o Can also gain access by using correct SSID (service set identifier) o WEP protection for Wi­Fi networks (requires password) can easily be  decrypted by hackers o WPA2 has stronger encryption and authentication but must be installed Malicious Software: Viruses, Worms, Trojan Horses, Spyware • Malware: malicious software programs • Computer virus:  o Rogue software program that attaches itself to other software  programs/data files without user permission o Spread from computer to computer when some action is taken (ex. email  sent) • Worms:  o Independent computer programs that copy themselves form one computer  to another computer over a network o Can operate on their own without attaching to other computer programs o Can destroy data/programs or halt operations of networks • Trojan horse:  o Software program that looks benign but does something unexpected o Not a virus itself  o A way for viruses to be introduced into a computer system • SQL injection attacks: o Largest malware threat o Takes advantage of vulnerabilities in poorly coded web application  software o Introduces malicious program code into company’s systems and networks • Keyloggers record every keystroke made on a computer to: o Steal serial numbers from software o Launch internet attacks o Gain access to email accounts o Obtain passwords to protected computers o Pick up credit card numbers Hackers and Computer Crime • Hacker: individual who intends to gain unauthorized access to a computer system • Cybervandalism: intentional disruption, defacement, destruction of a web site • Spoofing and Sniffing: o Hackers attempt to hide true identity by using fake email address o May redirect a web link to an address different from intended one o Direct customers to fake website that looks almost like true site o Can steal sensitive customer info o Sniffer: type of eavesdropper program that monitors info travelling over  network o Good people use sniffers to help identify troubles spots or criminal  activity on networks o Criminals use sniffers to steal emails, company files, confidential reports • Denial­of­Service Attacks: o Denial­of­service (DoS) attack: hackers flood network with many false  communications/requests for service to crash network o Distributed denial­of­service (DDoS) attack uses numerous computers to  overwhelm network from numerous launch points o Cause website to shut down making it impossible for legitimate users to  access site o This is very costly for e­commerce sites • Computer Crime: o Most hacking activities are criminal offences o Most economically damaging kinds of compute crime are DoS attacks,  introducing viruses, theft of services, disruption of computer systems • Identity Theft: o Imposter obtains key pieces of personal info to impersonate someone else o E­commerce sites are rich sources of customer personal information o Phishing: setting up fake websites that look like legitimate businesses to  ask users for confidential personal data o Evil twins: wireless networks that pretend to offer trustworthy connections  to internet to capture passwords/credit card numbers o Pharming: redirects users to bogus web page even when individual types  correct web page address into browser • Click Fraud: o Advertisers pay a fee for each time someone clicks on their ad o Click fraud: individual or computer program fraudulently clicks on an  online ad without any intention of learning more about ad o Some companies hire third parties to click on a competitor’s ads to  weaken them by driving up marketing costs • Global Threats: Cyberterrorism and Cyberwarfare: o Cybercriminals can operate and do harm from anywhere in the world o Terrorists may use internet to attack o Ex. attack software that runs electrical power grids, air traffic control  systems, networks of banks, etc. Internal Threats: Employees • Employees have access to privileged info and are able to roam through systems  without leaving a trace • Lack of knowledge is greatest cause of network security breaches (ex. employees  forget passwords or allow co­workers to use them) • Social engineering: intruders trick employees into revealing their passwords by  pretending to e legitimate members of company Software Vulnerability • Growing complexity of software programs and demands for timely delivery to  markets have increased software flaws • Major problem with software is presence of hidden bugs • Virtually impossible to eliminate all bugs from large programs • Fully testing programs would require thousands of years • Flaws in commercial software: o Impede performance o Create security vulnerabilities that open networks to intruders • Software vendor can create small pieces of software (patches) to correct software  flaws • Have to respond rapidly to security vulnerabilities • Malware being created so rapidly that companies don’t have much time to  respond before vulnerability is exploited Business Value of Security and Control • Many firms are reluctant to spend security because not directly related to sales  revenue • When security of large firm is compromised company loses about 2.1% of market  value within two days • Inadequate security and control can result in legal liability • Can be held liable if do not take protective action to prevent loss of confidential  info Establishing a Framework for Security and Control Information Systems Controls • General controls: govern design, security, use of computer programs throughout  organization’s technology infrastructure Type of General Control Description Software controls Monitor use of system software and prevent unauthorized  access  Hardware controls ­ Ensure computer hardware is physically secure ­ Check for equipment malfunction ­ Make provisions for backup to maintain service Computer operations  ­ Oversee work of computer department controls ­ Ensure programmed procedures are correctly applied to  storage and processing of data Data security controls Ensure valuable business data files are not subject to  unauthorized access, change, destruction Implementation controls Audit systems development process at various points to  ensure process is properly controlled/managed Administrative controls Formalize standards, rules, procedures to ensure general  controls are properly executed/enforced • Application controls: specific controls unique to each computerized application • Can be classified as: (1) Input controls: check data for accuracy and completeness when enter system (2) Processing controls: establish that data are complete and accurate during  updating (3) Output controls: ensure that results of computer processing are accurate ,  complete, properly distributed Risk Assessment • Risk assessment: determines level of risk to firm if a specific activity is not  properly controlled • Business managers and info systems specialists should try to determine: o Value of information assets o Points of vulnerability o Frequency of a problem o Potential for damage Security Policy • Security policy: o Ranks information risks o Identifies acceptable security goals o Identifies mechanisms for achieving goals • Acceptable use policy (AUP): defines acceptable uses of firm’s info resources and  computing equipment (desktops, laptops, wireless devices, phones, Internet) Disaster Recovery Planning and Business Continuity Planning • Disaster recovery planning:  o Devises plans for restoration of computing and communications services  after they have been disrupted o Focus on technical issues involved in keeping systems up and running o What files to back up, maintenance of backup computer systems • Business continuity planning: o Focuses on how company can restore business operations after disaster  strikes o Identifies critical business processes o Determines action plans for handling critical functions if systems go down The Role of Auditing • MIS audit: examines firm’s overall security environment and controls governing  individual info systems • Thorough audit will stimulate an attack/disaster to test response of technology, IT  staff, employees Technologies and Tools for Protecting Information Resources Identity Management and Authentication • Authentication:  o Ability to know that a person is who he/she claims to be o Ex. using passwords • Problems: people forget passwords, share them, choose poor passwords that are  easy to guess, post password around work area to remember • All compromise security • Token: physical device designed to prove the identity of a single user • Smart card: device the size of a credit card that contains chip formatted with  access permission • Biometric authentication: system that reads and interprets individual human traits  (ex. fingerprints, irises, voices, etc.) Firewalls, Intrusion Detection Systems, and Antivirus Software • Firewalls:  o Prevent unauthorized users from accessing private networks o Combination of hardware and software that controls flow of incoming and  outgoing network traffic o Placed between internal private network and external network o Prevents unauthorized communication into and out of network • Packet filtering:  o Examines selected fields in headers of data packets flowing back and forth  between trusted network and internet o Looks at individual packets in isolation • Stateful inspection:  o Determines whether packets are part of ongoing dialogue between sender  and receiver o Packets are accepted/rejected according to whether they are pa of an  approved conversation or attempting to establish legit connection • Intrusion Detection Systems:
More Less
Unlock Document

Only pages 1,2 and half of page 3 are available for preview. Some parts have been intentionally blurred.

Unlock Document
You're Reading a Preview

Unlock to view full version

Unlock Document

Log In


Join OneClass

Access over 10 million pages of study
documents for 1.3 million courses.

Sign up

Join to view


By registering, I agree to the Terms and Privacy Policies
Already have an account?
Just a few more details

So we can recommend you notes for your school.

Reset Password

Please enter below the email address you registered with and we will send you a link to reset your password.

Add your courses

Get notes from the top students in your class.