Dit document bevat alle aantekeningen van de 9 colleges + de bijbehorende samenvatting van de relevante hoofdstukken uit Elder et al met passende voorbeelden.
Data Analytics (Summary)
Lecture notes, Studybook & Academic papers
Lecturer : Various
Exams : 2 (Huiswerkopdrachten + schriftelijk tentamen).
Data Analytics College 1 – Introductie
Datum : 31-03 & 26-05
Subject : Data Analytics
Lecturer : D. Suijkerbuijk
Tentamen:
Tentamen bestaat uit 2 delen (1) Huiswerkopdrachten en (2) schriftelijk tentamen
De huiswerkopdrachten zijn gericht op het gebruik van SQL (colleges 1 – 3) Inleverdatum
is 14-05-2023. Casus wordt plenair besproken op 09-06-2023 (13:30 – 16:30)
Het tentamen is een schriftelijk tentamen m.b.t. Process mining (colleges 4 - 7). Het
tentamen wordt afgenomen op 09-06-2023 (10:00 – 12:00)
Zowel (1) Tentamen als (2) huiswerkopdrachten moeten afgesloten met > 5.5
College 1 is een opfrisser van een aantal eerder behandelde onderwerpen (1) Access Paths, (2)
DBMS Audit.
(1) Access Paths:
Access Paths geven aan hoe een gebruiker toegang krijgt tot data. Access paths worden
gebruikt voor het bepalen van de reikwijdte (i.e. SCOPE) van een audit. De Access path in kaart
brengen helpt de gebruiker om: (a) inzichtelijk te krijgen welke mitigerende controls er zijn (i.e.
firewalls) maar ook (b) om inzicht te krijgen in de complexiteit van de IT-infrastructuur.
Inzicht over access paths kan worden verkregen door interviews (walkthroughs)- aangevuld met
: Applicatie – en infrastructuur landschap-documentatie (i.e. architectuurplaat), beleid,
standaarden, technische design documentatie, procesdocumentatie etc. Informatie wordt
gevalideerd door inspectie van documentatie en systemen (waar mogelijk). De scope van de
audit kan o.b.v. hiervan aangepast worden in samenwerking met de klant als de informatie niet
blijkt te kloppen. Een access path kan als volgt worden weergegeven:
Figure 1: een eindgebruiker heeft Meestal een bepaalde rol/plek binnen de organisatie
(organisatieniveau), op basis van zijn/haar rol maakt deze persoon uit van individuele bedrijfsprocessen
waarbij men applicaties gebruikt om dagelijkse werkzaamheden uit te voeren (Bedrijfsprocesniveau).
Middels deze applicaties zoals een Database Management System of DBMS (MySQL/ORACLE) kan een
eindgebruiker interacteren met de database en andere delen van de IT-infrastructuur (Technisch IT
niveau / Databaseniveau).
,Als we kijken naar een accesspath voor het scopen van onze audit krijgen we het volgende
overzicht:
Figure 2: Access paths als deel van scoping van audit.
(2) Executing a DBMS Audit:
Een DBMS audit voeren we uit op basis van een baseline en/of framework. Juist daarom is het
belangrijk te snappen wat het verschil is tussen een DBMS Audit Framework en een DBMS
Baseline.
Een DBMS Audit Framework: bevat veelal generieke IT Controls op DBMS niveau,
welke moeten zijn afgestemd op bedrijfsbeleid. Het audit framework heeft betrekking op
proces- (hoe wordt het uitgevoerd) en procedure (i.e. vastlegging van) niveau
Een DBMS Baseline is specifiek voor een specifiek stuk (of versie) van technologie denk
hierbij aan de CIS benchmarks. Maar ook baselines moeten afgestemd worden met
bedrijfsbeleid. De implementatie hangt af van de infrastructuur, hard- en software en
bevat vaak geadviseerde technische instellingen/ technologie-specifieke acties die het
product veilig maken.
Framework topics:
Lifecycle Management (i.e. versiebeheer) inclusief change management
Vulnerability Management (vulnerability scanning, IT Security Compliance monitoring &
Patch management)
Access management: Joiners/Movers/leavers, Account- en authorisatie review (High
Privileged accounts en standaard/default accounts), authenticatie-mechanismes
(wachtwoordcontrols en netwerktoegang), Role Based Access Controls en Public
Permissions
Logging & Monitoring
Operating System & DBMS Hardening
Data encryptie (tijdens data opslag of Data at rest- en datatransmissie of data in transit)
Capacity & Performance Management
Governance Segregation of duties of SoD tussen System Admins en Data Admins- en
logische SoD binnen de DBMS.
Beschikbaarheid en Continuïteit zijn dus NIET HETZELFDE. Bij beschikbaarheid wordt
vastgesteld of alleen het systeem beschikbaar (i.e. benaderbaar) is onafhankelijk van of er data
in zit/bestaat. Continuïteit betekent dat niet alleen het systeem beschikbaar is- maar ook de
noodzakelijke data in het systeem er is. Bij beschikbaarheid spreken we dus over Redundantie
of overtolligheid. Een voorbeeld hiervan is dat een applicatie ook op een back-up server draait,
als de hoofd-server niet meer functioneert. Continuïteit vallen back-ups onder. Een back-up is
nooit redundant en dus betreft continuiteit en geen beschikbaarheid.
(3) Root Cause Analysis:
Tijdens de DBMS-audit kunnen zaken opvallen of observations. Zodra een observatie is
vastgesteld moet worden gevalideerd of de observatie resulteert in: (1) Een exceptie, (2)
Beheerst risico (door compenserende controls) , (3) geaccepteerd risico in het kader van
company policy.
Als we een observatie hebben is het goed om een Root Cause Analysis op te stellen om vast
te stellen of er ineffectieve/ontbrekende governance processen zijn- en de reden waarom
(3) Impact Assessment:
Indien er een observatie is vastgesteld is het belangrijk dat een degelijke impact assessment
wordt gedaan om te kijken wat de invloed is van een observatie op de audit en dus de
observatie gaat resulteren in een bevinding of finding. Op basis van de bevinding wordt
bepaald welke aanvullende werkzaamheden worden uitgevoerd om het risico in te perken. Bij
het bepalen van een observatie binnen een DBMS audit, moet men nadenken over:
Toegang tot de DBMS, als er een account was die had moeten worden
gesloten/verwijderd. Dan moet worden bepaald: (1) Wat de toegangsrechten zijn van dit
account, (2) of het account nog is gebruikt (na uitdiensttredingsdatum) en (3) of het
account is gebruikt voor het uitvoeren van specifieke transacties.
Generieke accounts DBMS: Als er generieke accounts en/of admin accounts bestaan met
een standaard-wachtwoord zijn deze dan wel geactiveerd?
Als logs direct worden weggeschreven op de database is er dan een log-entry hiervan?
Of is dit mechanisme uitgezet? Is er een SIEM-oplossing die hierop controleert?
Zijn er mitigerende controls die de impact & waarschijnlijkheid van het risico imperken?
, Data Analytics College 2 & 3– Introductie
datanalyse
Datum : 14-04-2023
Subject : Data Analytics
Lecturer : P. Batenburg
Data-analyse is een containerbegrip welke stilstaat bij het toepassen van
(kunstmatige-)intelligentie voor de interpretatie van gegevens om een uitspraak te doen over
een verantwoording en/of een poging tot inventarisatie. Maar controlestandaarden (ISA/NV-
COS) geven géén officiële definitie van data-analyse en hoe data-analyse controlezekerheid
oplevert. Dit is in tegenstelling tot gegevensgerichte controle welke sterk is gereguleerd.
Belangrijk is dat Data-analyse niet gelijk is aan een gegevensgerichte controle:
Een gegevensgerichte controle is volgens de SRA en NBA gedefinieerd als: een
controlemaatregel die is opgezet om afwijkingen van materieel belang op het niveau van
beweringen te detecteren. Gegevensgerichte controles bestaan uit: (1) detailcontroles
(van transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen
toelichtingen); en (2)gegevensgerichte cijferanalyses;
Een Data-analyse biedt de accountant een hulpmiddel om diepgaande kennis van
processen en transacties te verkrijgen en trends te herkennen. Dit om vervolgens te
bepalen wat de controlerisico’s zijn en de juiste controle-informatie te verzamelen.
Het grootste verschil tussen Data-analyse en een gegevensgerichte controle is het DOEL. Waar
gegevensgerichte controle gericht is op het vinden van afwijkingen van materieel belang- is
Data-analyse gericht op het verkrijgen van inzichten en herkennen van trends in een
Dataset. Bij Data-analyse is vaak sprake van een steekproef- en niet elke uitzondering in de
dataset is fout- of elke fout in de dataset is een uitzondering . Dit is wél het geval bij een
gegevensgerichte controle. Het probleem is 2-ledig: (1) Controlestandaarden geven geen
houvast hoe en of data-analyse controlezekerheid geeft en (2) bij gegevensgerichte controle is
er geen houvast om te bepalen wanneer men voldoende werk heeft gedaan om een gedegen
oordeel te geven. De hoeveelheid controlewerk wordt bepaald door de materialiteit en
gelopen risico, maar een solide maatstaf of formule om de hoeveelheid werk te bepalen is er
niet. ADA of Audit Data Analytics geeft de auditor de mogelijkheid om een analyse uit te
voeren over een grote hoeveelheid complexe data soms 100% van de populatie. Terwijl
Gegevensgerichte controle het toetsen is van verantwoorde gegevens aan de norm.
TIP 1 : Sorteer altijd de populatie o.b.v. omvang
TIP 2 : Bepaal mechanisme waarmee je steekproef steekt en bepaal of deze
representatief is voor de omvang.
Voorbeeld 1 – Euro-steekproef:
Voordelen van het kopen van samenvattingen bij Stuvia op een rij:
Verzekerd van kwaliteit door reviews
Stuvia-klanten hebben meer dan 700.000 samenvattingen beoordeeld. Zo weet je zeker dat je de beste documenten koopt!
Snel en makkelijk kopen
Je betaalt supersnel en eenmalig met iDeal, creditcard of Stuvia-tegoed voor de samenvatting. Zonder lidmaatschap.
Focus op de essentie
Samenvattingen worden geschreven voor en door anderen. Daarom zijn de samenvattingen altijd betrouwbaar en actueel. Zo kom je snel tot de kern!
Veelgestelde vragen
Wat krijg ik als ik dit document koop?
Je krijgt een PDF, die direct beschikbaar is na je aankoop. Het gekochte document is altijd, overal en oneindig toegankelijk via je profiel.
Tevredenheidsgarantie: hoe werkt dat?
Onze tevredenheidsgarantie zorgt ervoor dat je altijd een studiedocument vindt dat goed bij je past. Je vult een formulier in en onze klantenservice regelt de rest.
Van wie koop ik deze samenvatting?
Stuvia is een marktplaats, je koop dit document dus niet van ons, maar van verkoper Tilburgstudent. Stuvia faciliteert de betaling aan de verkoper.
Zit ik meteen vast aan een abonnement?
Nee, je koopt alleen deze samenvatting voor €6,18. Je zit daarna nergens aan vast.
