Copyright © 2014 Pearson Education, Inc. 1
IS Security is a critical aspect ofmanaging in the digital world
Chapter 10 - Securing Information Systems
Copyright © 2014 Pearson Education, Inc. 2
MS in Information Technology Auditingand Cyber-Security
ITACS is aboutassuring theconfidentiality,integrity andavailability of acompany’s systems
MIS
MIS
ACCT
ACCT
Risk
Risk
Copyright © 2014 Pearson Education, Inc. 3
The Career
Public Accounting
Internal Accounting
Government Service
Corporate Security
IT Management
S.T.E.M.
Copyright © 2014 Pearson Education, Inc. 4
Ten plus courses,  professional MS program
Professional certification (CISA) preparation
Scholarships available
Looking for:
Accounting, Finance, MIS, or Risk majors
Some systems background
GPA 3.0 or higher
Rich Flanagan, Director ITACS Program
The MS ITACS Program
Copyright © 2014 Pearson Education, Inc. 5
Administrivia
Project 2 is graded
Project 3 is due tonight
Exam #2 is next week
Review – 4/20 – 4pm – Alter 033
Copyright © 2014 Pearson Education, Inc. 6
Agenda
Today we will discuss all things security
The discussion will mostly be high level
Topics
Defining Risks
How different groups exploit security flaws
Management of the risks in the organization
How this affects contemporary business
Copyright © 2014 Pearson Education, Inc. 7
Worldwide losses due to software piracy in2008 exceeded $50 billion.
Business Software Alliance, 2009
Worldwide losses due to software piracy in2005 exceeded $34 billion.
Business Software Alliance, 2006
Worldwide losses due to software piracy in2010 exceeded $59 billion.
Business Software Alliance, 2011
http://www.toikee.com/website_deploy/Upload/user/hacking/blog/toikee-target-hacked.jpg
http://cdn.prnewsonline.com/wp-content/uploads/2014/09/jlaw.jpg
Copyright © 2014 Pearson Education, Inc. 8
Chapter 10 Learning Objectives
Define computer crime and describe several types of computer crime.
Describe and explain the differences between cyberwar and cyberterrorism.
Explain what is meant by the term “IS security” and describe both technology andhuman based safeguards for information systems.
Discuss how to better manage IS security and explain the process of developing an ISsecurity plan.
Describe how organizations can establish IS controls to better ensure IS security.
Copyright © 2014 Pearson Education, Inc. 9
Computer Crime
Computer Crime
Define computer crime and describe several types ofcomputer crime.
Describe and explain the differences between cyberwar and cyberterrorism.
Explain what is meant by the term “IS security” and describe both technology and human basedsafeguards for information systems.
Discuss how to better manage IS security and explain the process of developing an IS security plan.
Describe how organizations can establish IS controls to better ensure IS security.
Copyright © 2014 Pearson Education, Inc. 10
Computer Crime
Computer crime—The act of using a computerto commit an illegal act.
Targeting a computer while committing an offense.
Using a computer to commit an offense.
Using computers to support a criminal activity.
Reported trend for computer crime has beendeclining over the past several years (CSI, 2011).
Many incidents are never reported.
Many incidents are never detected.
Copyright © 2014 Pearson Education, Inc. 11
Primary Threats to InformationSystems Security
Natural disasters
Power outages, hurricanes,floods, and so on
Accidents
Power outages, cats walkingacross keyboards
Links to outside businesscontacts
Data travel between businessaffiliates
Outsiders
Viruses
Employees and consultants
Noname.gif
Copyright © 2014 Pearson Education, Inc. 12
12
Types of Computer Crimes andFinancial Losses
Fig10-04
What do you think happens to acompany’s stock price if theyreport that their systems havebeen compromised?
Would you report it if you didn’thave to?
Copyright © 2014 Pearson Education, Inc. 13
Federal and State Laws
Computer Fraud and Abuse Act of 1986
Stealing or compromising data about national defense, foreignrelations, atomic energy, or other restricted information
Violating data belonging to banks or other financial institutions
Intercepting or otherwise intruding on communications betweenstates or foreign countries
Threatening to damage computer systems in order to extort moneyor other valuables from persons, businesses, or institutions
Electronic Communications Privacy Act of 1986
makes it a crime to break into any electronic communicationsservice, including telephone services
prohibits the interception of any type of electronic communications
Copyright © 2014 Pearson Education, Inc. 14
Question
Some computer criminals attempt to break intosystems or deface Web sites to promotepolitical or ideological goals. They are called________.
A) crackers
B) cyber soldiers
C) ethical hackers
D) patriot hackers
E) hacktivists
Copyright © 2014 Pearson Education, Inc. 15
Hacking and Cracking
Which one is the “bad guy”?
Hackers
Crackers
Hacktivists
Know that hackers work on every side of thegame
White Hat / Black Hat
What they are depends on what team you play for
Copyright © 2014 Pearson Education, Inc. 16
Types of Criminals
Four groups of computer criminals
1.Current or former employees
85–95% of theft from businesses comes from the inside
2.People with technical knowledge committing crimes forpersonal gain
3.Career criminals using computers to assist them in crimes
4.Outside crackers hoping to find information of value
About 12 percent of cracker attacks cause damage
Copyright © 2014 Pearson Education, Inc. 17
Computer Viruses and Other Destructive Code
What is your favorite type of destructive code?
Two basic methodologies: Focused attack andopportunistic attack
Viruses – self propagating executable
Attached to a host file
Worms – also self propagating
Standalone file
Trojans – malware designed to enter the system by appearinglegitimate
Bots – task automation and information retrieval
Phishing, buffer overload, keystroke scanners, packet sniffers,brute force cracks, etc
Copyright © 2014 Pearson Education, Inc. 18
Types of Crimes
3 Major Groups
Copyright © 2014 Pearson Education, Inc. 19
Types of Attacks - Denial of Service Attack
Attackers preventlegitimate users fromaccessing services.
Zombie computers
Created by viruses orworms
Attack Web sites
Servers crash underincreased load.
noname.jpg
Copyright © 2014 Pearson Education, Inc. 20
Types of Attacks - Cybersquatting
The book presents a conceptual definition I would disagreewith
The practice of registering a domain name and later reselling it.
It is also the practice of exploiting name commonalities byinfringing on established brand
Some of the victims include:
Eminem, Panasonic, Hertz,  Avon
Anti-Cybersquatting Consumer Protection Act in 1999
Fines as high as $100,000
Some companies pay the cybersquatters to speed up the process ofgetting the domain.
Copyright © 2014 Pearson Education, Inc. 21
Types of Attacks - Cyber Harassment, Stalking,and Bullying
Cyber harassment—Crime that broadly refers to theuse of a computer to communicate obscene, vulgar, orthreatening content.
http://media-cache-ak0.pinimg.com/736x/6c/62/f8/6c62f8bc309a72945d31cccdaf541e62.jpg
http://www.tricitypsychology.com/blog/wp-content/uploads/2008/08/cyberbullying.jpg
Copyright © 2014 Pearson Education, Inc. 22
Cyberwar and Cyberterrorism
Define computer crime and describe several types of computer crime.
Cyberwar and Cyberterrorism
Describe and explain the differences between cyberwarand cyberterrorism.
Explain what is meant by the term “IS security” and describe both technology and human basedsafeguards for information systems.
Discuss how to better manage IS security and explain the process of developing an IS security plan.
Describe how organizations can establish IS controls to better ensure IS security.
Copyright © 2014 Pearson Education, Inc. 23
Question
An organized attempt by a country's military to disruptor destroy the information and communicationsystems of another country. Which of the followingterms best represents such attacks by a country?
A) cyber terrorism
B) cyberwar
C) logic bomb
D) Web vandalism
E) Internet hoaxing
Copyright © 2014 Pearson Education, Inc. 24
Cyberterrorism and Warfare
http://file.scirp.org/Html/8-7800099%5C041c73da-1e60-456b-93bc-1f7e328abfe8.jpg
Copyright © 2014 Pearson Education, Inc. 25
Information Systems Security
Define computer crime and describe several types of computer crime.
Describe and explain the differences between cyberwar and cyberterrorism.
Information Systems Security
Explain what is meant by the term “IS security” anddescribe both technology and human based safeguards forinformation systems.
Discuss how to better manage IS security and explain the process of developing an IS security plan.
Describe how organizations can establish IS controls to better ensure IS security.
Copyright © 2014 Pearson Education, Inc. 26
Safeguarding IS Resources
Risk Reduction
Actively installing countermeasures
Risk Acceptance
Accepting any losses that occur
Risk Transference
Insurance
Outsourcing
Copyright © 2014 Pearson Education, Inc. 27
Information Systems Security
All systems connected to a network are at risk.
Information systems security
Precautions to keep IS safe from unauthorized access anduse
Increased need for well executed computer securitywith increased use of the Internet
http://slissrv01.iowa.uiowa.edu/~mhalterm/MemoryBeta/battlestarnode/battlestarseal.jpg
http://www.movieviral.com/wp-content/uploads/2009/03/skynet_logo-300x300.png
Copyright © 2014 Pearson Education, Inc. 28
Technological Safeguards
Physical access restrictions
Authentication
Use of passwords
Photo ID cards, smart cards
Keys to unlock a computer
Combination
Authentication dependenton
Something you have
Something you know
Something you are
Noname.gif
Copyright © 2014 Pearson Education, Inc. 29
Passwords – A personal note
Never make your password about:
Your parents
Your birthday
Your school
Your significant other
Your children
A real word
The best passwords are
@GoBleTG51!oOk927_
This password is long and nonsensical
Copyright © 2014 Pearson Education, Inc. 30
Biometrics
Form of authentication
Fingerprints
Retinal patterns
Facial features and so on
Fast authentication
High security
What is the failing of the biometric password?
Noname.gif
Copyright © 2014 Pearson Education, Inc. 31
Securing the Facilities Infrastructure
Backups
Secondary storage devices
Regular intervals
Backup sites
Cold backup site
Hot backup site
Redundant data centers
Different geographic areas
Closed-circuit television (CCTV)
Monitoring for physical intruders
Video cameras display and record all activity
Digital video recording
Uninterruptible power supply (UPS)
Protection against power surges
Copyright © 2014 Pearson Education, Inc. 32
Firewalls
Firewall—A system designed to detect intrusion andprevent unauthorized access
Implementation
Hardware, software, mixed
Noname.gif
Copyright © 2014 Pearson Education, Inc. 33
Virtual Private Networks
Connection constructeddynamically within anexisting network
Tunneling
Send private data overpublic network
Encrypted information
Noname.gif
Copyright © 2014 Pearson Education, Inc. 34
Encryption
Message encoded before sending
Message decoded when received
Cryptography—the science of encryption.
It requires use of a key for decoding.
Certificate authority—manages distribution of keys on a busyWeb site.
Secure Sockets Layer (SSL)—popular public key encryptionmethod.
Noname.gif
https://www.eleceng.adelaide.edu.au/personal/dabbott/wiki/images/thumb/8/8c/Public-Key.jpg/350px-Public-Key.jpg
Copyright © 2014 Pearson Education, Inc. 35
Managing IS Security
Define computer crime and describe several types of computer crime.
Describe and explain the differences between cyberwar and cyberterrorism.
Explain what is meant by the term “IS security” and describe both technology and human basedsafeguards for information systems.
Managing IS Security
Discuss how to better manage IS security and explain theprocess of developing an IS security plan.
Describe how organizations can establish IS controls to better ensure IS security.
Copyright © 2014 Pearson Education, Inc. 36
Question
The ________ policy explains technical controls on allorganizational computer systems, such as accesslimitations, audit-control software, firewalls, and so on.
A) incident handling
B) information
C) security
D) disaster recovery
E) account management
Copyright © 2014 Pearson Education, Inc. 37
Managing Information Systems Security
Non-technicalsafeguards
Management ofpeople’s use of IS
Acceptable usepolicies
Trustworthyemployees
Well-treatedemployees
Copyright © 2014 Pearson Education, Inc. 38
Disaster Planning
Disasters can’t be completely avoided. Need to beprepared.
Business continuity plan
describes how a business resumes operation after a disaster
Disaster recovery plan
Subset of business continuity plan
Procedures for recovering from systems-related disasters
Two types of objectives
Recovery time objectives (Maximum time allowed to recover)
Recovery point objectives (How current should the backup materialbe?)
Copyright © 2014 Pearson Education, Inc. 39
Responding to a Security Breach
Restore lost data
Perform new risk audit
Implement additional safeguards
Contact law enforcement (yeah, right!)
Computer Emergency Response Team Coordination Center(Federal  government center of Internet security expertise)
Copyright © 2014 Pearson Education, Inc. 40
Information Systems Controls, Auditing, andthe Sarbanes-Oxley Act
Define computer crime and describe several types of computer crime.
Describe and explain the differences between cyberwar and cyberterrorism.
Explain what is meant by the term “IS security” and describe both technology and human basedsafeguards for information systems.
Discuss how to better manage IS security and explain the process of developing an IS security plan.
Information Systems Controls, Auditing, and theSarbanes-Oxley Act
Describe how organizations can establish IS controls tobetter ensure IS security.
Copyright © 2014 Pearson Education, Inc. 41
Question
Organizations periodically have an external entityreview the controls so as to uncover any potentialproblems in the controls. This process is called________.
A) risk analysis
B) a recovery time objective analysis
C) a recovery point objective analysis
D) an information systems audit
E) information modification
Copyright © 2014 Pearson Education, Inc. 42
Hierarchy of IS Controls
Copyright © 2014 Pearson Education, Inc. 43
Types of IS Controls
Policies
Define aim and objectives.
Standards
Support the requirements of policies.
Organization and management
Define the lines of reporting.
Physical and environmental controls
Protect the organization’s IS assets.
Copyright © 2014 Pearson Education, Inc. 44
Types of IS Controls (cont’d)
Systems software controls
Enable applications and users to utilize the systems.
Systems development and acquisition controls
Ensure systems meet the organization’s needs.
Application-based controls
Ensures correct input, processing, storage, and output of data; maintain record ofdata as it moves through the system.
Copyright © 2014 Pearson Education, Inc. 45
IS Auditing
Information Systems audit
Performed by external auditors to help organizations assess the state oftheir IS controls.
To determine necessary changes
To assure the IS availability, confidentiality, and integrity
Risk assessment
Determine what type of risks the IS infrastructure faces.
Computer-Assisted Auditing Tools (CAAT)
Specific software to test applications and data, using test data orsimulations.
Copyright © 2014 Pearson Education, Inc. 46
Question
Which of the following laws makes it mandatory fororganizations to demonstrate that there are controls inplace to prevent misuse or fraud, controls to detectany potential problems, and effective measures tocorrect any problems?
A) USA Patriot Act
B) Sarbanes-Oxley Act
C) Trade Expansions Act of 1962
D) Central Intelligence Agency Act
E) Electronic Communications Privacy Act of 1986
Copyright © 2014 Pearson Education, Inc. 47
The Sarbanes-Oxley Act
The Sarbanes-Oxley Act was formed as a reaction to large-scaleaccounting scandals.
WorldCom, Enron
It primarily addresses the accounting side of organizations.
Companies have to demonstrate that:
controls are in place to prevent misuse and fraud,
controls are in place to detect potential problems, and
measures are in place to correct problems
COBIT (Control Objectives for Information and RelatedTechnology)
Set of best practices
Help organizations to maximize the benefits from their IS infrastructure
Establish appropriate controls
Copyright © 2014 Pearson Education, Inc. 48
A Thought Exercise
The NSA is a US Intelligence Agencyresponsible for global monitoring ofinformation and intelligence/counterintelligence.
Two common techniques used bythe organization are:
 backdoor creation (e.g. Linux Kernel, _NSAKEY)
 buffer/stack overflow to identify established flaws
What are the strengths and weaknesses of taking thisapproach to manage global intelligence?
http://www.motherjones.com/files/blog_nsa_logo.jpg
Copyright © 2014 Pearson Education, Inc. 49
Recap
Defining Risks
How different groups exploit security flaws
Management of the risks in the organization
How this affects contemporary business
Copyright © 2014 Pearson Education, Inc. 50
Project 3
Hand it in
Have a wonderful day, don’t fall down the stairs.