Che cos’è un audit di sicurezza IT?
Published Febbraio 22, 2018 by Karen Walsh • 5 min read
Un audit di sicurezza IT spesso causa stress all’interno di un’azienda, ma non è necessario. Aiutando a proteggersi da un evento di minaccia dei dati, gli audit di sicurezza comportano revisioni tecniche che riportano configurazioni, tecnologie, infrastrutture e altro ancora. Questi dati dettagli che possono intimidire coloro che si sentono meno-che-esperto in IT, ma comprendere le risorse e le strategie disponibili per la protezione contro gli attacchi moderni rende la sicurezza IT meno opprimente.
Alla radice, un audit di sicurezza IT include due valutazioni diverse. La valutazione manuale si verifica quando un auditor della sicurezza IT interno o esterno intervista i dipendenti, esamina i controlli di accesso, analizza l’accesso fisico all’hardware ed esegue scansioni delle vulnerabilità. Queste revisioni dovrebbero avvenire, come minimo, ogni anno. Alcune organizzazioni, tuttavia, preferiscono farlo più frequentemente.
Le organizzazioni dovrebbero anche rivedere i report generati dal sistema. Le valutazioni automatizzate non solo incorporano tali dati, ma rispondono anche ai report di monitoraggio del software e alle modifiche alle impostazioni del server e dei file.
Perché è importante una valutazione dei rischi per la sicurezza IT?
Prima di creare procedure e controlli sulla sicurezza IT, le organizzazioni devono determinare la loro esposizione al rischio. ISACA osserva che ci sono cinque ragioni principali per stabilire una valutazione del rischio per la sicurezza aziendale.
In primo luogo, una valutazione del rischio può aiutare a giustificare le spese finanziarie necessarie per proteggere un’organizzazione. La sicurezza delle informazioni ha un costo. Budget ristretti significa che le spese aggiuntive possono essere difficili da ottenere approvato. Una valutazione dei rischi per la sicurezza IT articola i rischi critici e quantifica le minacce alle risorse informative. Istruendo gli stakeholder interni in modo che possano vedere non solo l’esposizione, ma anche il valore di mitigare i rischi critici, una valutazione del rischio per la sicurezza aiuta a giustificare gli investimenti in sicurezza.
In secondo luogo, le valutazioni dei rischi aiutano a semplificare la produttività del reparto IT. Formalizzando le strutture che aiutano il monitoraggio continuo, i reparti IT possono concentrarsi sulla revisione e sulla raccolta proattiva della documentazione piuttosto che sulla risposta difensiva alle minacce.
Inoltre, le valutazioni possono aiutare ad abbattere le barriere. A partire da una valutazione dei rischi per la sicurezza mette la gestione aziendale e il personale IT sulla stessa pagina. La gestione deve prendere decisioni che mitigano i rischi mentre il personale IT li implementa. Lavorare insieme a partire dalla stessa valutazione dei rischi fornisce a tutti le informazioni di cui hanno bisogno per proteggere l’organizzazione e facilita il buy-in per gli sforzi di sicurezza al di là del reparto IT.
Le valutazioni dei rischi per la sicurezza aziendale stabiliscono anche la base per l’auto-revisione. Mentre il personale IT conosce il sistema tecnico, la rete e le informazioni sull’applicazione, l’implementazione dipende dal personale di altre unità aziendali. Le valutazioni dei rischi forniscono relazioni accessibili incentrate su informazioni utilizzabili, in modo che tutte le parti coinvolte possano assumere il livello appropriato di responsabilità. Per promuovere una cultura della conformità, la sicurezza non può operare in modo isolato.
Infine, le valutazioni dei rischi per la sicurezza aiutano a condividere le informazioni tra i reparti. Con fornitori e sistemi individualizzati, diversi reparti all’interno di un’organizzazione potrebbero non sapere cosa stanno facendo gli altri. Poiché la direzione superiore all’interno di aziende più grandi deve condividere tutte le responsabilità, le valutazioni forniscono le informazioni necessarie per discussioni significative a supporto della sicurezza IT.
Cosa fa un auditor per la sicurezza IT?
Gli auditor di sicurezza IT forniscono una varietà di funzioni. Esaminano le operazioni di un’organizzazione, la rendicontazione finanziaria e la conformità. Mentre queste aree sembrano segregate, le tre si intersecano in diversi punti.
Gli audit finanziari incorporano più della semplice revisione standard dei libri di un’azienda. Quando il Congresso approvò il Sarbanes-Oxley Act del 2002 (SOX), la legislazione includeva la sezione 404. La sezione 404 richiede audit del sistema di rendicontazione finanziaria per garantire la conformità con i controlli interni della società. Sicurezza IT, conformità e rendicontazione finanziaria si sovrappongono in queste revisioni obbligatorie per legge.
Un’altra area in cui i tre si intersecano è nella segnalazione SOC. Molti clienti richiedono ai propri fornitori di completare un audit SOC (Service Organization Control). Se un’azienda decide di impegnarsi in un rapporto SOC 1, SOC 2 o SOC 3, dovrà assumere un revisore per determinare i protocolli di sicurezza dei dati dell’azienda. Il reporting SOC può essere visualizzato come SOX adiacente. Per le organizzazioni che prevedono un futuro mandato di conformità SOX, la segnalazione SOC può servire come preziosa preparazione. Pertanto, coinvolgere un auditor della sicurezza IT non solo aiuta a proteggere le risorse informative di un’azienda, ma offre opportunità per scalare la sua conformità.
Cosa dovrebbe cercare un’organizzazione in un auditor per la sicurezza IT?
Anche se non tutti i revisori della sicurezza IT sono Certified Public Accountants (CPA), l’American Institute of Certified Public Accountants (AICPA) offre risorse per collegare le organizzazioni con CPA che hanno esperienza di sicurezza informatica. La combinazione delle due competenze aiuta a sviluppare o fornire garanzie per i piani di sicurezza informatica.
Per le aziende appena iniziato con i controlli di sicurezza IT, l’AICPA condivide anche la ricerca per aiutare le decisioni importanti, così come un quadro per determinare i modi per creare efficaci pratiche di gestione del rischio di sicurezza informatica.
Poiché gli attacchi malware e gli attacchi ransomware continuano ad affliggere le aziende, le aziende devono proteggersi e garantire che i loro clienti siano al sicuro. Una violazione dei dati può portare al fallimento, soprattutto per le piccole imprese.
Che cos’è una traccia di controllo della sicurezza IT?
L’aspetto più dispendioso in termini di tempo di un audit di sicurezza IT è la creazione dell’audit trail. Una traccia di controllo consiste nella documentazione fornita all’auditor che mostra la prova dei processi per proteggere un ambiente IT.
Quando si prepara per un audit di sicurezza IT, le aziende devono iniziare organizzando i documenti che soddisfano i requisiti di audit. La documentazione deve dimostrare la conoscenza del business e del settore. Poiché il revisore leggerà il rapporto di audit dell’anno precedente, è saggio che un’azienda lo riveda e raccolga prove di azioni correttive. Inoltre, le aziende devono mostrare le valutazioni dei rischi, gli artefatti di conformità con gli statuti normativi e le prove di informazioni finanziarie sviluppate nell’anno in corso.
Inoltre, il dipartimento IT deve raccogliere informazioni che mostrino la struttura organizzativa IT, le politiche e le procedure, gli standard, l’elenco del personale, le prestazioni dei dipendenti e dei processi e i test di controllo interno. Tutta questa documentazione mostra fatti che supportano l’opinione del revisore sul loro rapporto finale.
Qual è la differenza tra i controlli generali e quelli applicativi?
I controlli generali si concentrano su quelle infrastrutture applicabili all’intera attività, incluso ma non limitato a ESSO. I controlli generali includono, ma non sono limitati a, operativi, amministrativi, contabili e organizzativi.
I controlli delle applicazioni si concentrano sulle transazioni e sui dati all’interno dei sistemi applicativi dei computer. Pertanto, questi sono specifici per il panorama IT dell’azienda. I controlli delle applicazioni enfatizzano l’accuratezza dei dati, in particolare la funzione di input, elaborazione e output (IPO) dell’azienda.
In che modo l’automazione del processo di sicurezza IT semplifica l’it?
Il controllo della sicurezza IT richiede una grande quantità di documentazione. Gli strumenti SaaS, come ZenGRC, accelerano il processo di aggregazione delle informazioni. Aiutano anche le parti interessate a comunicare meglio. Quando più aree di un’organizzazione stanno creando e tentando di implementare i propri controlli, la documentazione di controllo della sicurezza diventa ingombrante e richiede molto tempo per la compilazione.
ZenGRC semplifica il processo di audit IT, a partire dai moduli di valutazione del rischio. ZenGRC offre moduli di valutazione del rischio che forniscono informazioni sia sul rischio del fornitore che sul rischio aziendale. I grafici Risk Trend e Risk Responsibility forniscono immagini facili da digerire e codificate a colori che forniscono alla gestione una visione del rischio attuale dell’azienda.
Inoltre, ZenGRC consente alle organizzazioni di archiviare la documentazione di audit in un’unica posizione. A differenza delle unità condivise, tuttavia, ZenGRC consente agli amministratori di moderare l’accesso degli utenti in modo efficiente. Questa moderazione mantiene i record al sicuro da manomissioni e facilita anche la comunicazione. Mentre alcuni dipendenti richiedono l’accesso alla modifica, alcuni hanno semplicemente bisogno di visualizzare i documenti. ZenGRC consente ai professionisti IT di seguire i protocolli di accesso degli utenti, anche all’interno dei loro processi di documentazione di audit.
Infine, ZenGRC genera in modo efficiente report che soddisfano diverse esigenze. Fornisce alla c-suite la panoramica di cui hanno bisogno per comprendere il panorama IT, offrendo allo stesso tempo ai professionisti IT un posto dove registrare la profondità delle informazioni necessarie durante un audit di sicurezza IT.