Mi az az IT biztonsági Audit?
megjelent február 22, 2018 által Karen Walsh • 5 perc olvasás
az informatikai biztonsági ellenőrzés gyakran stresszt okoz a vállalaton belül-de nem kell. Az adatfenyegetési eseményekkel szembeni védelem érdekében a biztonsági auditok technikai felülvizsgálatokat tartalmaznak, amelyek a konfigurációkról, technológiákról, infrastruktúráról stb. Ezek az adatok olyan részletek, amelyek megfélemlíthetik azokat, akik kevésbé érzik magukat szakértőnek az informatikában, de a modern támadások elleni védelem érdekében rendelkezésre álló erőforrások és stratégiák megértése miatt az informatikai biztonság kevésbé elsöprő.
az informatikai biztonsági audit két különböző értékelést tartalmaz. A kézi értékelés akkor történik, amikor egy belső vagy külső informatikai biztonsági auditor interjút készít az alkalmazottakkal, áttekinti a hozzáférés-vezérlőket, elemzi a hardverhez való fizikai hozzáférést, és sebezhetőségi vizsgálatokat végez. Ezeknek a felülvizsgálatoknak legalább évente meg kell történniük. Egyes szervezetek azonban inkább gyakrabban csinálják őket.
a szervezeteknek felül kell vizsgálniuk a rendszer által létrehozott jelentéseket is. Az automatizált értékelések nemcsak ezeket az adatokat tartalmazzák, hanem válaszolnak a szoftverfigyelési jelentésekre, valamint a szerver-és Fájlbeállítások változásaira is.
miért fontos az informatikai biztonsági kockázatértékelés?
az informatikai biztonság körüli eljárások és vezérlők létrehozása előtt a szervezeteknek meg kell határozniuk kockázati kitettségüket. Az ISACA megjegyzi, hogy a vállalati biztonsági kockázatértékelés létrehozásának öt fő oka van.
először is, a kockázatértékelés segíthet igazolni a szervezet őrzéséhez szükséges pénzügyi kiadásokat. Az információbiztonságnak ára van. A szűkös költségvetés azt jelenti, hogy a további kiadások kihívást jelenthetnek a jóváhagyáshoz. Az informatikai biztonsági kockázatértékelés megfogalmazza a kritikus kockázatokat és számszerűsíti az információs eszközöket fenyegető veszélyeket. A belső érdekelt felek oktatásával, hogy ne csak az expozíciót, hanem a kritikus kockázatok enyhítésének értékét is láthassák, a biztonsági kockázatértékelés segít igazolni a biztonsági beruházásokat.
másodszor, a kockázatértékelések segítenek az informatikai részleg termelékenységének egyszerűsítésében. A folyamatos nyomon követést segítő struktúrák formalizálásával az informatikai részlegek a fenyegetésekre való védekezés helyett a dokumentumok proaktív felülvizsgálatára és gyűjtésére összpontosíthatnak.
ezenkívül az értékelések segíthetnek az akadályok lebontásában. A biztonsági kockázatértékeléssel kezdve a vállalatirányítás és az informatikai személyzet ugyanazon az oldalon helyezkedik el. A vezetésnek olyan döntéseket kell hoznia, amelyek csökkentik a kockázatot, miközben az informatikai személyzet végrehajtja azokat. Az ugyanazon kockázatértékelés alapján végzett együttműködés mindenki számára biztosítja a szervezet védelméhez szükséges információkat, és megkönnyíti az informatikai részlegen kívüli biztonsági erőfeszítésekre való belépést.
A vállalati biztonsági kockázatértékelések szintén megalapozzák az önellenőrzést. Bár az informatikai személyzet ismeri a műszaki rendszert, a hálózatot és az alkalmazási információkat, a megvalósítás más üzleti egységek személyzetétől függ. A kockázatértékelések hozzáférhető jelentéseket nyújtanak, amelyek a cselekvésre alkalmas információkra összpontosítanak, hogy minden érintett megfelelő szintű felelősséget vállalhasson. A megfelelés kultúrájának előmozdítása érdekében a biztonság nem működhet elszigetelten.
végül a biztonsági kockázatértékelések segítenek az információk megosztásában az osztályok között. Az egyénre szabott szállítókkal és rendszerekkel a szervezet különböző részlegei nem tudják, hogy mások mit csinálnak. Mivel a nagyobb vállalatok felső vezetésének meg kell osztania a felelősséget, az értékelések biztosítják az informatikai biztonságot támogató értelmes megbeszélésekhez szükséges betekintést.
mit csinál egy informatikai biztonsági Auditor?
az informatikai biztonsági auditorok számos funkciót biztosítanak. Áttekintik a szervezet működését, a pénzügyi beszámolást és a megfelelést. Míg ezek a területek szegregáltnak tűnnek, a három több helyen keresztezi egymást.
a pénzügyi ellenőrzések nem csupán a vállalat könyveinek szokásos áttekintését foglalják magukban. Amikor a Kongresszus elfogadta a 2002. évi Sarbanes-Oxley-törvény (SOX), a jogszabály tartalmazta a 404.szakaszt. A 404.szakasz előírja a pénzügyi beszámolási rendszer auditjait a vállalat belső ellenőrzéseinek való megfelelés biztosítása érdekében. Az informatikai biztonság, a megfelelőség és a pénzügyi beszámolás átfedésben van ezekben a jogilag előírt felülvizsgálatokban.
egy másik terület, ahol a három metszéspont a SOC jelentésben található. Sok ügyfél megköveteli a szállítóktól, hogy teljesítsék a Service Organization Control (SOC) auditot. Függetlenül attól, hogy egy vállalat úgy dönt, hogy részt vesz egy SOC 1, SOC 2 vagy SOC 3 jelentésben, könyvvizsgálót kell felvennie a vállalat adatbiztonsági protokolljainak meghatározására. SOC jelentés lehet tekinteni, mint SOX-szomszédos. Azoknak a szervezeteknek, amelyek előre látják a jövőbeni SOX-megfelelési megbízást, a SOC-jelentések értékes előkészítésként szolgálhatnak. Ezért az informatikai biztonsági ellenőr bevonása nemcsak a vállalkozás információs eszközeinek védelmét segíti elő, hanem lehetőséget kínál a megfelelés skálázására.
mit kell keresnie egy szervezetnek egy IT biztonsági Auditorban?
bár nem minden informatikai biztonsági ellenőr Certified Public Accountants (CPA), az American Institute of Certified Public Accountants (AICPA) forrásokat kínál a kiberbiztonsági tapasztalattal rendelkező CPA-kkal rendelkező szervezetek összekapcsolására. A két készség kombinálása elősegíti a kiberbiztonsági tervek kidolgozását vagy biztosítását.
azoknak a vállalatoknak, amelyek csak most kezdik el az informatikai biztonsági ellenőrzéseket, az AICPA megosztja a fontos döntések elősegítésére irányuló kutatásokat, valamint egy keretet a hatékony kiberbiztonsági kockázatkezelési gyakorlatok létrehozásának módjainak meghatározására.
mivel a rosszindulatú programok és a ransomware támadások továbbra is sújtják a vállalkozásokat, a vállalkozásoknak meg kell védeniük magukat és biztosítaniuk kell ügyfeleik biztonságát. Egy adat megsértése vezethet csőd, különösen a kisvállalkozások számára.
mi az IT biztonsági ellenőrzési nyomvonal?
az informatikai biztonsági ellenőrzés leginkább időigényes aspektusa az ellenőrzési nyomvonal létrehozása. Az ellenőrzési nyomvonal a könyvvizsgálónak átadott dokumentációból áll, amely bizonyítja az informatikai környezet biztosításához szükséges folyamatokat.
az informatikai biztonsági auditra való felkészülés során a vállalatoknak az ellenőrzési követelményeknek megfelelő dokumentumok szervezésével kell kezdeniük. A dokumentációnak bizonyítania kell az üzleti és ipari ismereteket. Mivel a könyvvizsgáló elolvassa az előző évi könyvvizsgálati jelentést, bölcs dolog, ha a vállalat újra megvizsgálja azt is, és bizonyítékokat gyűjt a korrekciós intézkedésekről. Ezenkívül a vállalatoknak be kell mutatniuk a kockázatértékeléseket, a szabályozási alapszabályok betartásának tárgyait, valamint a folyó évben kidolgozott pénzügyi információs bizonyítékokat.ezenkívül az informatikai osztálynak információkat kell gyűjtenie az informatikai szervezeti felépítésről, az irányelvekről és eljárásokról, a szabványokról, a személyzet listájáról, az alkalmazottak és folyamatok teljesítményéről, valamint a belső ellenőrzési tesztekről. Mindez a dokumentáció olyan tényeket mutat be, amelyek alátámasztják a könyvvizsgáló véleményét a zárójelentésükről.
mi a különbség az általános és az Alkalmazásvezérlők között?
az Általános ellenőrzések azokra az infrastruktúrákra összpontosítanak, amelyek a teljes üzleti tevékenységre vonatkoznak, beleértve, de nem kizárólagosan az IT-t is. Az Általános ellenőrzések magukban foglalják, de nem korlátozódnak azokra, operatív, adminisztratív, számviteli és szervezeti.
az Alkalmazásvezérlők a tranzakciókra és a számítógépes alkalmazásrendszereken belüli adatokra összpontosítanak. Ezért ezek a vállalat informatikai tájára jellemzőek. Az alkalmazásvezérlők hangsúlyozzák az adatok pontosságát, különös tekintettel a vállalat input, processing and output (IPO) funkciójára.
hogyan egyszerűsíti az informatikai biztonsági folyamat automatizálása?
az informatikai biztonság ellenőrzése hatalmas mennyiségű dokumentációt igényel. A SaaS eszközök, mint például a ZenGRC, felgyorsítják az információk összesítésének folyamatát. Segítenek abban is, hogy az érdekelt felek jobban kommunikáljanak. Amikor egy szervezet több területe saját ellenőrzéseket hoz létre és próbál végrehajtani, a biztonsági audit dokumentáció összeállítása nehézkes és időigényes.
a ZenGRC egyszerűsíti az informatikai auditálási folyamatot, kezdve a kockázatértékelési modulokkal. A ZenGRC kockázatértékelési modulokat kínál, amelyek betekintést nyújtanak mind az eladói, mind a vállalati kockázatba. A kockázati Trend és a kockázati felelősség grafikája könnyen emészthető, színkódolt látványt nyújt, amely a menedzsment számára képet nyújt a vállalat jelenlegi kockázatáról.
ezenkívül a ZenGRC lehetővé teszi a szervezetek számára, hogy auditdokumentációikat egy helyen tárolják. A megosztott meghajtókkal ellentétben azonban a ZenGRC lehetővé teszi a rendszergazdák számára, hogy hatékonyan mérsékeljék a felhasználói hozzáférést. Ez a moderálás megőrzi a nyilvántartásokat a manipulációtól, és megkönnyíti a kommunikációt. Míg egyes alkalmazottak szerkesztési hozzáférést igényelnek, néhányuknak csupán dokumentumokat kell megtekinteniük. A ZenGRC lehetővé teszi az informatikai szakemberek számára, hogy kövessék a felhasználói hozzáférési protokollokat, még az ellenőrzési dokumentációs folyamataikon belül is.
végül a ZenGRC hatékonyan generál jelentéseket, amelyek megfelelnek a különböző igényeknek. Ez biztosítja a c-suite számára azt az áttekintést, amelyre szükségük van az informatikai táj megértéséhez, ugyanakkor helyet ad az informatikai szakembereknek az informatikai biztonsági ellenőrzés során szükséges információk mélységének rögzítésére.