Hvad er en IT Security Audit?
udgivet 22. februar 2018 af Karen Valsh * 5 min læs
en IT—sikkerhedsrevision forårsager ofte stress i en virksomhed-men det behøver de ikke. Sikkerhedsrevisioner hjælper med at beskytte mod en datatrusselhændelse og involverer tekniske anmeldelser, der rapporterer om konfigurationer, teknologier, infrastruktur og mere. Disse datadetaljer, der kan skræmme dem, der føler sig mindre end ekspert i IT, men at forstå de ressourcer og strategier, der er tilgængelige for at beskytte mod moderne angreb, gør IT-sikkerhed mindre overvældende.
i sin rod indeholder en IT-sikkerhedsrevision to forskellige vurderinger. Den manuelle vurdering sker, når en intern eller ekstern IT-sikkerhedsrevisor afhører medarbejdere, gennemgår adgangskontrol, analyserer fysisk adgang til udstyr og udfører sårbarhedsscanninger. Disse anmeldelser bør ske, på et minimum, årligt. Nogle organisationer foretrækker dog at gøre dem oftere.
organisationer bør også gennemgå systemgenererede rapporter. Automatiserede vurderinger inkorporerer ikke kun disse data, men svarer også på rapporter om overvågning af programmer og ændringer i server-og filindstillinger.
Hvorfor er en IT-Sikkerhedsrisikovurdering vigtig?
før du opretter procedurer og kontroller omkring IT-sikkerhed, skal organisationer bestemme deres risikoeksponering. ISACA bemærker, at der er fem hovedårsager til at etablere en enterprise security risk assessment.
for det første kan en risikovurdering bidrage til at retfærdiggøre de økonomiske udgifter, der er nødvendige for at beskytte en organisation. Informationssikkerhed koster. Stramme budgetter betyder, at yderligere udgifter kan være udfordrende at få godkendt. En IT-sikkerhedsrisikovurdering formulerer kritiske risici og kvantificerer trusler mod informationsaktiver. Ved at uddanne interne interessenter, så de ikke kun kan se eksponeringen, men også værdien af at afbøde kritiske risici, hjælper en sikkerhedsrisikovurdering med at retfærdiggøre sikkerhedsinvesteringer.
for det andet hjælper risikovurderinger med at strømline IT-afdelingens produktivitet. Ved at formalisere de strukturer, der hjælper med løbende overvågning, kan IT-afdelinger fokusere på proaktivt at gennemgå og indsamle dokumentation snarere end defensivt at reagere på trusler.
desuden kan vurderinger hjælpe med at nedbryde barrierer. Start med en sikkerhedsrisikovurdering sætter virksomhedsledelse og IT-personale på samme side. Ledelsen skal træffe beslutninger, der mindsker risikoen, mens IT-personale implementerer dem. At arbejde sammen fra den samme risikovurdering giver alle de oplysninger, de har brug for for at beskytte organisationen, og letter buy-in til sikkerhedsindsats ud over IT-afdelingen.
risikovurderinger af virksomhedssikkerhed etablerer også grundlaget for selvevaluering. Mens IT-medarbejdere kender det tekniske system, netværk og applikationsoplysninger, afhænger implementeringen af personale i andre forretningsenheder. Risikovurderinger giver tilgængelige rapporter med fokus på handlingsrettede oplysninger, så alle involverede kan tage det passende ansvarsniveau. For at fremme en overholdelseskultur kan Sikkerhed ikke fungere isoleret.
endelig hjælper sikkerhedsrisikovurderinger med at dele information på tværs af afdelinger. Med individualiserede leverandører og systemer ved forskellige afdelinger i en organisation muligvis ikke, hvad andre laver. Da øverste ledelse i større virksomheder alle skal dele ansvaret, giver vurderinger den indsigt, der er nødvendig for meningsfulde diskussioner, der understøtter IT-sikkerhed.
Hvad gør en IT-Sikkerhedsrevisor?
it-sikkerhedsrevisorer leverer en række funktioner. De gennemgår en organisations drift, finansiel rapportering og overholdelse. Mens disse områder synes adskilt, krydser de tre flere steder.
finansielle revisioner omfatter mere end blot standard gennemgang af en virksomheds bøger. Da Kongressen vedtog Sarbanes-lov af 2002, omfattede lovgivningen afsnit 404. Afsnit 404 kræver revision af det finansielle rapporteringssystem for at sikre overholdelse af virksomhedens interne kontrol. IT-sikkerhed, compliance og finansiel rapportering overlapper hinanden i disse juridisk krævede anmeldelser.
et andet område, hvor de tre krydser hinanden, er i SOC-rapportering. Mange kunder kræver, at deres leverandører gennemfører en SOC-revision (Service organisation Control). Uanset om en virksomhed beslutter at deltage i en SOC 1, SOC 2 eller SOC 3 rapport, skal den ansætte en revisor til at bestemme virksomhedens datasikkerhedsprotokoller. SOC rapportering kan ses som SOC-tilstødende. For organisationer, der forventer et fremtidigt mandat til overholdelse af SOC, kan SOC-rapportering tjene som værdifuld forberedelse. Derfor hjælper en IT-sikkerhedsrevisor ikke kun med at beskytte en virksomheds informationsaktiver, men giver muligheder for at skalere dens overholdelse.
Hvad skal en organisation se efter i en IT-Sikkerhedsrevisor?
selvom ikke alle IT-sikkerhedsrevisorer er certificerede revisorer (CPA ‘er), tilbyder American Institute of Certified Public Accountants (AICPA) ressourcer til at forbinde organisationer med CPA’ er, der har cybersikkerhedserfaring. Kombination af de to færdigheder hjælper med at udvikle eller give forsikringer om cybersikkerhedsplaner.
for virksomheder, der lige er begyndt med IT-sikkerhedskontrol, deler AICPA også forskning for at hjælpe vigtige beslutninger samt en ramme til bestemmelse af måder at skabe effektiv praksis for risikostyring af cybersikkerhed.da ondsindede angreb og løsepenge-angreb fortsætter med at plage virksomheder, er virksomheder nødt til at beskytte sig selv og sikre, at deres kunder er sikre. Et databrud kan føre til konkurs, især for små virksomheder.
Hvad er et It-sikkerhedsrevisionsspor?
det mest tidskrævende aspekt af en IT-sikkerhedsrevision er at skabe revisionssporet. Et revisionsspor består af den dokumentation, der leveres til revisor, der viser bevis for processer for at sikre et IT-miljø.
Når virksomheder forbereder sig på en IT-sikkerhedsrevision, skal de starte med at organisere de dokumenter, der opfylder revisionskravene. Dokumentationen skal bevise forretnings-og branchekendskab. Fordi revisor vil læse det foregående års revisionsrapport, er det klogt for en virksomhed at revidere den og indsamle bevis for korrigerende handlinger. Derudover skal virksomheder vise risikovurderinger, artefakter af overholdelse af lovgivningsmæssige vedtægter og finansielle oplysninger, der er udviklet i indeværende år.
desuden skal IT-afdelingen indsamle oplysninger, der viser IT-organisationsstrukturen, politikker og procedurer, standarder, personaleliste, medarbejdernes og processernes ydeevne og interne kontroltest. Al denne dokumentation viser fakta, der understøtter revisors mening om deres endelige rapport.
Hvad er forskellen mellem generelle og applikationskontroller?
generelle kontroller fokuserer på de infrastrukturer, der gælder for hele virksomheden, herunder men ikke begrænset til it. Generelle kontroller inkluderer, men er ikke begrænset til, operationelle, administrative, regnskabsmæssige og organisatoriske.
applikationskontrol fokuserer på transaktion og data inden for computerapplikationssystemer. Derfor er disse specifikke for virksomhedens IT-landskab. Applikationskontrol understreger datanøjagtighed, specifikt virksomhedens input, processing og output (IPO) – funktion.
hvordan automatiserer it-sikkerhedsprocessen det?
revision af IT-sikkerhed kræver enorme mængder dokumentation. SaaS-værktøjer, som f.eks. De hjælper også interessenter med at kommunikere bedre. Når flere områder i en organisation opretter og forsøger at implementere deres egne kontroller, bliver sikkerhedsrevisionsdokumentation uhåndterlig og tidskrævende at kompilere.
simplificerer it-revisionsprocessen, begyndende med sine risikovurderingsmoduler. Vi tilbyder risikovurderingsmoduler, der giver indsigt i både leverandørrisiko og virksomhedsrisiko. Risikotendensen og Risikoansvar grafikken giver let at fordøje, farvekodede billeder, der giver ledelsen et overblik over virksomhedens nuværende risiko.
i øvrigt tillader
endelig genererer