Co je to bezpečnostní Audit IT?
Publikováno 22. února 2018 Karen Walsh • 5 min čtení
audit bezpečnosti IT často způsobuje stres ve společnosti – ale nemusí. Bezpečnostní audity, které pomáhají chránit před hrozbou dat, zahrnují technické kontroly, které podávají zprávy o konfiguracích, technologiích, infrastruktuře a dalších. Tyto údaje, které mohou zastrašit ty, kteří se v něm cítí méně než odborníci, ale pochopení zdrojů a strategií dostupných na ochranu před moderními útoky činí bezpečnost IT méně ohromující.
v jeho kořenovém adresáři obsahuje audit bezpečnosti IT dvě různá hodnocení. Manuál hodnocení dochází, když vnitřní nebo vnější bezpečnosti IT auditor rozhovory se zaměstnanci, hodnocení, kontroly přístupu, analyzuje fyzický přístup k hardwaru, a provádí skenování zranitelnosti. K těmto přezkumům by mělo dojít minimálně jednou ročně. Některé organizace je však raději dělají častěji.
organizace by také měly přezkoumat Zprávy generované systémem. Automatizovaná hodnocení zahrnují nejen tato data, ale také reagují na zprávy o monitorování softwaru a změny nastavení serveru a souborů.
proč je důležité hodnocení bezpečnostních rizik IT?
před vytvořením postupů a kontrol v oblasti bezpečnosti IT musí organizace určit svou rizikovou expozici. ISACA poznamenává, že existuje pět hlavních důvodů pro stanovení hodnocení rizik podnikového zabezpečení.
za prvé, posouzení rizik může pomoci ospravedlnit finanční výdaje potřebné k ochraně organizace. Informační bezpečnost má svou cenu. Těsné rozpočty znamenají, že dodatečné výdaje mohou být náročné na schválení. Hodnocení bezpečnostních rizik IT artikuluje kritická rizika a kvantifikuje hrozby pro informační aktiva. Vzděláváním Interních zúčastněných stran, aby mohli vidět nejen expozici, ale také hodnotu zmírnění kritických rizik, hodnocení bezpečnostních rizik pomáhá ospravedlnit investice do bezpečnosti.
za druhé, hodnocení rizik pomáhá zefektivnit produktivitu IT oddělení. Formalizací struktur, které napomáhají průběžnému monitorování, se IT oddělení mohou zaměřit spíše na proaktivní kontrolu a shromažďování dokumentace než na obrannou reakci na hrozby.
navíc hodnocení může pomoci prolomit bariéry. Počínaje hodnocením bezpečnostních rizik staví vedení společnosti a IT zaměstnance na stejnou stránku. Vedení musí činit rozhodnutí, která zmírňují rizika, zatímco je pracovníci IT implementují. Pracují společně, ze stejného posuzování rizik poskytuje všechny informace, které potřebují k ochraně organizace, a usnadňuje buy-in do úsilí o bezpečnost za IT oddělení.
hodnocení podnikových bezpečnostních rizik také stanoví základ pro vlastní kontrolu. Zatímco IT pracovníci znají technické informace o systému, síti a aplikacích, implementace závisí na zaměstnancích v jiných obchodních jednotkách. Hodnocení rizik poskytují přístupné zprávy zaměřené na žalovatelné informace, aby všichni zúčastnění mohli převzít odpovídající úroveň odpovědnosti. Pro podporu kultury dodržování předpisů nemůže bezpečnost fungovat izolovaně.
nakonec hodnocení bezpečnostních rizik pomáhá sdílet informace napříč odděleními. U individualizovaných dodavatelů a systémů nemusí různá oddělení v Organizaci vědět, co dělají ostatní. Vzhledem k tomu, že vyšší vedení ve větších společnostech musí sdílet odpovědnost, hodnocení poskytují vhled nezbytný pro smysluplné diskuse podporující bezpečnost IT.
co dělá Auditor bezpečnosti IT?
auditoři IT bezpečnosti poskytují celou řadu funkcí. Kontrolují operace organizace, finanční výkaznictví a dodržování předpisů. I když se tyto oblasti zdají oddělené, tři se protínají na několika místech.
finanční audity zahrnují více než jen standardní přezkum firemních knih. Když Kongres schválil zákon Sarbanes-Oxley z roku 2002 (SOX), legislativa zahrnovala oddíl 404. Oddíl 404 vyžaduje audity systému účetního výkaznictví, aby bylo zajištěno dodržování vnitřních kontrol společnosti. Bezpečnost IT, dodržování předpisů a finanční výkaznictví se v těchto zákonem požadovaných recenzích překrývají.
Další oblast, kde se tři protínají, je v hlášení SOC. Mnoho zákazníků vyžaduje, aby jejich dodavatelé dokončili audit řízení organizace služeb (SOC). Ať už se společnost rozhodne zapojit do zprávy SOC 1, SOC 2 nebo SOC 3, bude muset najmout auditora, aby určil protokoly zabezpečení dat společnosti. Hlášení SOC lze považovat za Sox sousedící. Pro organizace, které očekávají budoucí mandát Sox compliance, může hlášení SOC sloužit jako cenná příprava. Zapojení auditora bezpečnosti IT proto nejen pomáhá chránit informační aktiva podniku, ale nabízí příležitosti k škálování jeho souladu.
co by měla organizace hledat v auditorovi bezpečnosti IT?
i když ne všechny bezpečnostní auditory Certifikovaných Veřejných Účetních (CPAs), Amerického Institutu Certifikovaných Veřejných Účetních (AICPA) nabízí zdroje pro připojení organizací s CPAs, kteří mají zkušenosti v oblasti kybernetické bezpečnosti. Kombinace těchto dvou sad dovedností pomáhá rozvíjet nebo poskytovat záruky pro plány kybernetické bezpečnosti.
Pro společnosti, které teprve začínají s TO bezpečnostní kontroly, AICPA také akcie výzkum na podporu důležitých rozhodnutí, stejně jako rámec pro určení způsobů, jak vytvořit efektivní kybernetické bezpečnosti postupů řízení rizik.
vzhledem k tomu, že útoky malwaru a ransomwaru nadále trápí Podniky, Podniky se musí chránit a zajistit, aby jejich zákazníci byli v bezpečí. Jedno porušení dat může vést k bankrotu, zejména pro malé podniky.
co je IT bezpečnostní Audit?
časově nejnáročnějším aspektem auditu bezpečnosti IT je vytvoření auditní stopy. Auditní stopa se skládá z dokumentace poskytnuté auditorovi, která ukazuje důkaz o procesech zabezpečení IT prostředí.
při přípravě na audit bezpečnosti IT musí společnosti začít organizováním dokumentů, které splňují požadavky auditu. Dokumentace musí prokázat obchodní a průmyslové znalosti. Protože auditor přečte auditní zprávu z předchozího roku, je moudré, aby ji společnost také znovu navštívila a shromáždila důkazy o nápravných opatřeních. Dodatečně, společnosti musí prokázat hodnocení rizik, artefakty souladu s regulačními zákony, a důkazy o finančních informacích vyvinuté v běžném roce.
kromě toho musí IT oddělení shromažďovat informace ukazující organizační strukturu IT, zásady a postupy, standardy, seznam zaměstnanců, výkon zaměstnanců a procesů a testy vnitřní kontroly. Celá tato dokumentace ukazuje skutečnosti, které podporují stanovisko auditora k jejich závěrečné zprávě.
jaký je rozdíl mezi obecnými a aplikačními ovládacími prvky?
obecné kontroly se zaměřují na infrastruktury použitelné pro celý podnik, včetně, ale bez omezení na něj. Obecné kontroly zahrnují, ale nejsou omezeny na, provozní, administrativní, účetní a organizační.
ovládací prvky aplikace se zaměřují na transakce a data v rámci počítačových aplikačních systémů. Proto jsou specifické pro IT prostředí společnosti. Ovládací prvky aplikace zdůrazňují přesnost dat, konkrétně funkci vstupu, zpracování a výstupu společnosti (IPO).
jak automatizuje proces zabezpečení IT?
audit zabezpečení IT vyžaduje obrovské množství dokumentace. Nástroje SaaS, jako je ZenGRC, urychlují proces agregace informací. Pomáhají také zainteresovaným stranám lépe komunikovat. Když více oblastí organizace vytváří a pokouší se implementovat své vlastní kontroly, dokumentace bezpečnostního auditu se stává obtížnou a časově náročnou na kompilaci.
ZenGRC zjednodušuje proces auditu IT, počínaje moduly hodnocení rizik. ZenGRC nabízí moduly pro hodnocení rizik, které umožňují nahlédnout do rizika dodavatele i rizika společnosti. Grafika Risk Trend a Risk Responsibility poskytuje snadno stravitelné, barevně označené vizuály, které poskytují managementu pohled na aktuální rizika společnosti.
ZenGRC navíc umožňuje organizacím ukládat svou auditorskou dokumentaci na jednom místě. Na rozdíl od sdílených disků však ZenGRC umožňuje správcům efektivně moderovat přístup uživatelů. Toto moderování udržuje záznamy v bezpečí před manipulací a také usnadňuje komunikaci. Zatímco někteří zaměstnanci vyžadují přístup k úpravám, někteří potřebují pouze prohlížet dokumenty. ZenGRC umožňuje IT profesionálům sledovat protokoly přístupu uživatelů, a to i v rámci procesů auditní dokumentace.
A konečně, ZenGRC efektivně generuje zprávy, které splňují různé potřeby. Poskytuje C-suite přehled, který potřebují k pochopení IT prostředí, a současně poskytuje IT profesionálům místo pro zaznamenání hloubky informací nezbytných během auditu bezpečnosti IT.