CISA exam passed, now the required experience

CISA-Certified-Information-Systems-AuditorBack in the summer 2013, I was interested to pass the CISA exam even if could not obtain the certification without experience. This was a way for me to demonstrate my interest in IT audit to future potential employers. I thought that I could have done the exam in December 2013, but I wasn’t enough sure that I was ready to pass the exam and considering the cost, I preferred to wait until the next date. Furthermore, it is possible to sit for this exam only three times per year in June, September and December; this is the same exam everywhere in the world at the same time. On June 14 2014, this was finally the date and I sat for the CISA exam here in Montreal. I’m not sure how to explain yet this experience. I read a lot on Internet about other experiences and how I could prepare myself to this day. People have normally read many books to study for this exam. For me, I really tried to read the official manual from ISACA and to be honest, I was sleeping on it after only the first few pages. However, I have practiced many hours with the CISA Practice Question Database which, in my opinion, is the best resource that someone could use to study for this exam. Even if I didn’t have any experience in IT audit nor have read a book related to the CISA, my past technical experience in IT was really useful, but also knowledge of my different degrees. This is certainly an exam that requests a really broad set of general IT knowledge. The true challenge with this exam is to learn how to think like ISACA and their kind of questions. Of course, an exam with answer choices seems really simple to pass, but the right answer is always the best answer according to ISACA. It is easily possible to eliminate two on four choices, but the last two choices are always confusing because some choices could be the right one from a technical point of view and not an IT audit perspective. This is not the hardest exam, but stupid mistakes could rapidly occur during a four hour exam with 200 questions.

Now that I have passed the exam, I have to fulfill the experience requirements to officially obtain the CISA certification. Five years are normally required with tasks related to the five CISA domains, but some waivers are possible as much as three years when a candidate has done prior educations, experiences or other certifications. In my case, my bachelor and graduate degrees with IT general work experiences will waive up to three years.

So I should officially obtain the CISA certification in August 2016 since I now have the opportunity to work as a consultant (IT auditor) at Deloitte.

Tweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInEmail this to someone

Email Security and S/MIME

S/MIME exampleAs I wrote in one of my previous posts, emails are not a secure way to communicate and exchange confidential information but this is not all. In information security, the CIA triad (confidentiality, integrity and availability) is often cited alongside with other key elements such as authenticity and non-repudiation. It is important to keep in mind these elements in order to protect our information. Unfortunately, email structure is not designed to provide these concepts out of the box.

Often, we do not ask questions about an email received from a known contact. Nevertheless, the sender email address is not enough to authenticate the correspondent and the email address could be easily spoofed by someone else. There are technical measures available to prevent these situations often used by spammers and mainly to produce a phishing attack. Problem solved? Not quite. These preventive measures have to be implemented by the domain owner but are not mandatory for each domain. Popular email services have configured these protections but it is not the case with email addresses from many Internet service providers or organizations. However, these antispam measures only validate that an email was sent from a legitimate server. Nothing about authenticating the real person behind the email address. A malicious person could create anytime an email address looking just like yours with a free email service and try to send emails on your behalf. So we never can’t be sure that our correspondent is really the person that we think he is. In many ways, an email could also be intercepted and the content read by someone else than the receiver. Therefore it could be altered between the sender and original receiver. Same without encryption, your receiver should have the assurance that all information stays valid during transmission.

In order to fix these problems, a user could obtain an S/MIME certificate that works under the principle of public and private keys. Other than S/MIME, PGP is also a free alternative. Most users think that these technologies are only for encryption between sender and receiver but this is not the only advantage. In fact, a user will have the possibility to digitally sign all outgoing emails with an installed certificate. The objectives are to maintain integrity, authenticity and non-repudiation. Unlike encryption, the receiver doesn’t need a certificate to verify the digital signature. The receiver will be able to consult your public certificate with information validated by a Certification Authority (CA). Depending on your CA choice, your identity will be verified according to your email address (Class 1) or a complete verification with official IDs such as a license driver or passport (Class 2). Personally, I use the “Secure Email Digital Certificates” from Comodo which is a class 2 verification and only 12$ per year. In my case, when I send an email to someone, this person can look at my certificate and confirm that my identity was verified by Comodo.

Of course, there are some drawbacks with the use of S/MIME certificates. Some free webmail services such as Outlook.com or Gmail doesn’t recognize the signature and will simply attach a “smime.p7s” file. This file could be confusing for some users. However, most recent email softwares have this functionality embedded by default.

Tweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInEmail this to someone

Shared Passwords and Accountability

Login Box - AccountabilityAccountability is one principle often forgotten in daily business and many employees don’t take seriously their credentials e.g. usernames and passwords. What would be your reaction if an auditor or a person from a law enforcement agency would like to ask you some questions regarding a fraud in your organization? This is probably the worst case scenario but always possible if you share your information to someone else. Indeed. If you give your credentials to your colleagues and they use it to commit illegal activities, it’s your name that will show up in the transaction logs. This person can act on your behalf in the systems without any indices. Of course, you will be the first one to be investigated because at first, you look just as guilty. You will have to prove that you are not responsible for these transactions and this process could be an unnecessary stressful situation. The accountability’s goal is mainly to allow only one identity per transaction because an organization wants to know who do what and when in their systems. In most enterprises concerned about their accountability’s accesses, be sure that each action will be logged and kept a few months. Never forget that a username and password are like your identity in your organization. The same thing is applicable for other credentials such as an access card. Each time that a reader scans an access card, this event is logged with information about the owner, reader’s place, date and time whether it is really the right owner or not. The only way to reduce credentials shared among employees is awareness. In certain organizations where detection controls are correctly established, accesses will be temporarily suspended if unusual utilizations are detected. In order to reactivate accesses, the employee must have a meeting with organization’s stakeholders concerning this issue.

There are many reasons where you would be tempted to give one of your access to someone else or use common credentials. It’s true. This is often faster than creating a request to the IT department and waiting for a response during a few days. However, sharing accounts are never the solution whether you need new accesses for an ad hoc employee or an intern only for a short period of time. Someone in the organization has the responsibility to authorize new accesses for the resource requested and will verify if accesses should be granted or not. You are probably not the resource’s data owner and you can not make this judgement call. If you don’t have an access to a specific resource perhaps you are simply not authorized to access it and the use of other access will probably cause a security breach. In a large organization, accesses are often granted per role in the way that you will have your own credential but the same permissions that your colleagues at the same level. In an SMB where central identity management is not always in place such as an Active Directory, accesses are managed per application or system basis. This doesn’t mean to create general accesses per role like “administrator” or “staff“. Take the time to create an account for each employee because accountability is always important whatever the resource. Finally, don’t forget to review accesses created and their permissions. If an employee doesn’t need an access anymore, simply revoke it.

Tweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInEmail this to someone

Téléphones intelligents et aperçu des notifications

GoogleCodeExampleSMSPour protéger ses informations, il ne s’agit pas toujours de mettre en place des solutions avancées. En fait, c’est souvent l’ensemble de plusieurs mesures de sécurité qui permettent de protéger globalement l’information. Le cas de cet article, les téléphones intelligents. Première mesure simple, c’est bien sûr de configurer un mot de passe pour éviter que n’importe qui puisse fouiller dans vos données. Par contre, il est très rare que les utilisateurs personnalisent l’affichage des notifications sur l’écran verrouillé. Ces notifications peuvent sembler bien banales, mais au contraire, pourraient afficher plusieurs informations intéressantes. En plus d’indiquer l’expéditeur, les notifications affichent souvent un aperçu des messages reçus et c’est surtout à ce niveau, à mon avis, qu’il faut faire attention. Dernièrement, j’ai publié l’article “Principe de base de l’authentification à deux facteurs” et une méthode pour recevoir un code temporaire est souvent par messagerie texte (SMS). Qu’est-ce qui arrive lorsque l’aperçu des notifications est activé? Le code temporaire est tout simplement affiché sur l’écran verrouillé du téléphone intelligent. Seulement quelques minutes loin de votre téléphone sont nécessaires pour qu’une personne profite de l’occasion. Autre situation. On a souvent une tendance à laisser notre téléphone un peu à la vue de tous que ce soit chez un client, au restaurant ou même sur notre propre bureau. Donc, sans laisser votre téléphone, il est facile pour une autre personne de voir vos notifications reçues sans stratagème complexe. En exemple, vous recevez un courriel de votre comptable. Les premiers caractères de l’aperçu pourraient très bien mentionner un chiffre important ou encore, une transaction en cours que vous voulez garder privée. Un rappel provenant de votre agenda concernant un rendez-vous? Information intéressante pour connaitre vos habitudes. Même l’affichage de l’expéditeur pourrait être dans certains cas une information pertinente. Vous recevez un appel d’un bureau d’avocats spécialisés en fusions et acquisitions d’entreprises? Vous êtes surement en train de travailler sur un dossier important. Il ne faut pas oublier que c’est l’ensemble des informations acquises sur une personne provenant de plusieurs sources qui permettront de connaitre ses habitudes et activités. Dans la plupart des cas, une simple notification indiquant la réception de nouveaux messages ou autres est amplement suffisante et protège vos informations. De toute façon, il est nécessaire de déverrouiller l’appareil afin de consulter au complet la nouvelle communication et pour y répondre…

Tweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInEmail this to someone

Les courriels et la sécurité : quelques notions à savoir

Que ce soit dans nos vies personnelles ou professionnelles, la gestion des courriels est bien souvent un des premiers services maitrisés sur un ordinateur. Malgré tout, peu de personnes prennent le temps d’analyser le chemin parcouru par un message de l’expéditeur jusqu’au destinataire. Il est important de porter une attention particulière aux informations transmises par courrier électronique et d’évaluer les risques d’utiliser cette méthode de communication lors de certaines situations. Plusieurs utilisateurs pourraient être étonnés de constater que la transmission des courriels n’est aucunement sécurisée; le contenu brut des courriels est disponible à une tierce partie à un moment ou un autre. Toutefois, j’ai souvent l’occasion d’être témoin de l’utilisation téméraire de certains utilisateurs qui indiquent des numéros de carte de crédit, numéros d’assurance sociale, informations bancaires, etc.

En version simplifiée, il est possible de déterminer 3 étapes lors de la transmission d’un courriel:

De votre ordinateur au serveur de courriels : Vous aimez travailler dans un café, bibliothèque ou à l’université? Les informations transmises sur un réseau public vous permettant d’accéder à Internet sont vulnérables et pourraient être facilement interceptées si vous ne prenez pas les précautions nécessaires. En fait, il est tout simplement très important d’utiliser le protocole TLS/SSL avec toutes les connexions vers un serveur; TLS/SSL permet d’obtenir une connexion sécurisée entre votre ordinateur et le serveur de courriels. Vous utilisez déjà ce protocole au quotidien; c’est le fameux HTTPS que vous utilisez pour vous connecter à plusieurs sites, dont celui-ci. Les services populaires tels que Gmail, Outlook ou Yahoo offrent déjà depuis plusieurs années la possibilité d’utiliser une connexion sécurisée pour consulter vos courriels en ligne. Toutefois, cette option n’est pas toujours activée par défaut et vous devez vérifier vos paramètres; vous pouvez aussi essayer tout simplement d’ajouter le HTTPS. Si vous utilisez toujours un logiciel de courriels tels que Thunderbird ou Outlook pour récupérer vos courriels, vous n’êtes pas forcément protégés. Ces logiciels doivent également se connecter à un serveur de courriels pour récupérer et/ou recevoir vos messages. D’autres protocoles sont utilisés (IMAP/POP3/SMTP), mais il est tout aussi important d’utiliser une connexion sécurisée avec TLS/SSL. Il ne faut pas oublier que TLS/SSL ne permet aucunement le cryptage de vos messages jusqu’à votre destinataire, mais bien seulement une connexion sécurisée entre votre ordinateur et votre serveur. Advenant le cas où vous avez accès à un VPN, c’est bien sûr la meilleure des solutions pour sécuriser l’échange de vos données de votre ordinateur à un serveur externe via un réseau public, mais un peu plus compliqué.

Transmission de votre courriel entre serveurs : Votre message sera transmis directement sur Internet et sera traité par plusieurs réseaux, serveurs, routeurs, fournisseurs d’accès Internet, etc. avant d’arriver au serveur de courriels de votre destinataire. Il est tout de même moins évident d’intercepter un courriel sur le grand réseau Internet, mais votre message pourrait très bien être redirigé vers un autre serveur en utilisant un des nombreux routeurs ou encore, peu importe les serveurs utilisés, un administrateur d’un de ces serveurs pourrait facilement récupérer les messages reçus et/ou envoyés. Également, lorsqu’il est question de l’interception de nos informations par plusieurs gouvernements, c’est justement lors de la transmission, par exemple, de vos messages entre serveurs directement sur Internet. Il ne faut pas oublier que le réseau Internet est immense et c’est une interconnexion de plusieurs réseaux qui permet à nos communications d’être partagées partout dans le monde en quelques secondes; plusieurs réseaux pour lesquels nous n’avons aucun contrôle.

Du serveur de destination vers l’ordinateur de votre destinataire : Malheureusement, ici, il est impossible de contrôler les actions de votre destinataire; celui-ci devrait également utiliser les bonnes pratiques de base avec TLS/SSL.

Pretty Good Privacy (PGP)

La seule et unique méthode pour vous assurer que vos courriels ne pourront pas être lus, même dans l’éventualité d’une interception, est l’utilisation d’une solution permettant le cryptage. Une possibilité est PGP, soit une technologie qui existe depuis plus de 20 ans et qui permet de crypter rapidement vos messages. PGP sera le sujet d’un prochain article, mais vous pouvez l’essayer facilement avec l’extension Chrome Mailvelope. Pour partager votre clé publique, je vous suggère d’utiliser le service PGPserver.com.

En résumé

Il ne faut pas devenir paranoïaque, mais il faut savoir partager l’information intelligemment par courriel et connaitre les risques. Personnellement, j’utilise toujours une connexion sécurisée sur un réseau local public et je n’envoie aucune information confidentielle ce qui correspond surement à au moins 90% de mes courriels. Pour l’autre 10%, j’utilise les possibilités de cryptage avec PGP lorsque possible ou j’utilise tout simplement un autre moyen de communication. Vous savez… les télécopieurs (les bons vieux “fax”) restent toujours populaires dans les entreprises et organisations financières; tout simplement parce que la transmission d’un fax est beaucoup plus sécuritaire qu’un courriel!

Tweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInEmail this to someone