Wat is een IT Security Audit?
gepubliceerd februari 22, 2018 door Karen Walsh • 5 min read
een IT—beveiligingsaudit veroorzaakt vaak stress binnen een bedrijf-maar dat is niet nodig. Beveiligingsaudits bieden bescherming tegen gegevensbedreigingen en omvatten onder meer technische beoordelingen van configuraties, technologieën, infrastructuur. Deze gegevens details die kunnen intimideren degenen die zich minder-dan-expert in IT, maar het begrijpen van de middelen en strategieën die beschikbaar zijn om te beschermen tegen moderne aanvallen maakt IT-beveiliging minder overweldigend.
aan de basis bevat een IT-beveiligingsaudit twee verschillende assessments. De handmatige beoordeling vindt plaats wanneer een interne of externe IT-beveiligingsauditor werknemers interviewt, toegangscontroles beoordeelt, fysieke toegang tot hardware analyseert en kwetsbaarheidsscans uitvoert. Deze beoordelingen moeten minimaal jaarlijks plaatsvinden. Sommige organisaties doen dat echter liever vaker.
organisaties moeten ook door het systeem gegenereerde rapporten bekijken. Geautomatiseerde assessments bevatten niet alleen die gegevens, maar reageren ook op softwaremonitoringrapporten en wijzigingen in server-en bestandsinstellingen.
Waarom is een IT-Veiligheidsrisicobeoordeling belangrijk?
alvorens procedures en controles rond IT-beveiliging te creëren, moeten organisaties hun risicoblootstelling bepalen. ISACA merkt op dat er vijf belangrijke redenen zijn om een enterprise security risk assessment op te stellen.
ten eerste kan een risicobeoordeling helpen om de financiële uitgaven te rechtvaardigen die nodig zijn om een organisatie te bewaken. Informatiebeveiliging heeft een prijs. Krappe budgetten betekenen dat extra uitgaven een uitdaging kunnen zijn om goedgekeurd te worden. Een IT security risk assessment brengt kritieke risico ‘ s Onder de aandacht en kwantificeert bedreigingen voor informatiemiddelen. Door interne stakeholders te informeren zodat ze niet alleen de blootstelling kunnen zien, maar ook de waarde van het beperken van kritieke risico ‘ s, helpt een veiligheidsrisicobeoordeling investeringen in beveiliging te rechtvaardigen.
ten tweede helpen risicobeoordelingen de productiviteit van de IT-afdeling te stroomlijnen. Door de structuren te formaliseren die de continue monitoring ondersteunen, kunnen IT-afdelingen zich richten op het proactief beoordelen en verzamelen van documentatie in plaats van defensief te reageren op bedreigingen.
bovendien kunnen beoordelingen helpen belemmeringen weg te nemen. Beginnend met een security risk assessment zet corporate management en IT-medewerkers op één lijn. Het Management moet beslissingen nemen die risico ‘ s beperken terwijl IT-personeel ze implementeert. Samenwerken vanuit dezelfde risicobeoordeling geeft iedereen de informatie die ze nodig hebben om de organisatie te beschermen, en vergemakkelijkt buy-in om veiligheidsinspanningen buiten de IT-afdeling.
bedrijfsveiligheidsrisicobeoordelingen vormen ook de basis voor zelfbeoordeling. Hoewel IT-medewerkers het technische systeem, het netwerk en de toepassingsinformatie kennen, is de implementatie afhankelijk van het personeel in andere business units. Risicobeoordelingen bieden toegankelijke rapporten die gericht zijn op bruikbare informatie, zodat alle betrokkenen de juiste verantwoordelijkheid kunnen nemen. Om een nalevingscultuur te bevorderen, kan beveiliging niet los van elkaar functioneren.
ten slotte helpen veiligheidsrisicobeoordelingen informatie te delen tussen afdelingen. Met geïndividualiseerde leveranciers en systemen, kunnen verschillende afdelingen binnen een organisatie niet weten wat anderen doen. Aangezien het hogere management binnen grotere bedrijven alle verantwoordelijkheid moet delen, bieden beoordelingen het inzicht dat nodig is voor zinvolle discussies ter ondersteuning van IT-beveiliging.
Wat doet een IT Security Auditor?
It-beveiligingsauditors bieden een verscheidenheid aan functies. Ze beoordelen de activiteiten van een organisatie, financiële verslaggeving en compliance. Hoewel deze gebieden gescheiden lijken, kruisen de drie elkaar op verschillende plaatsen.
financiële audits omvatten meer dan alleen de standaard review van de boeken van een bedrijf. Toen het Congres de Sarbanes-Oxley Act van 2002 (SOX) goedkeurde, omvatte de wetgeving sectie 404. Sectie 404 vereist audits van het financiële verslagleggingssysteem om de naleving van de interne controles van de onderneming te waarborgen. IT-beveiliging, compliance en financiële verslaggeving overlappen elkaar in deze wettelijk verplichte beoordelingen.
een ander gebied waar de drie elkaar kruisen is in SOC-rapportage. Veel klanten vereisen hun leveranciers om een Service Organization Control (SOC) audit te voltooien. Of een bedrijf nu besluit deel te nemen aan een SOC 1, SOC 2 of SOC 3-rapport, het zal een auditor moeten inhuren om de gegevensbeveiligingsprotocollen van het bedrijf te bepalen. SOC-rapportage kan worden gezien als Sox-aangrenzend. Voor organisaties die anticiperen op een toekomstig Sox-nalevingsmandaat, kan SOC-rapportage als waardevolle voorbereiding dienen. Daarom, het inschakelen van een IT-security auditor helpt niet alleen om de informatie activa van een bedrijf te beschermen, maar biedt mogelijkheden om de naleving ervan te schalen.
wat moet een organisatie zoeken in een IT Security Auditor?
hoewel niet alle IT-security auditors Certified Public Accountants (CPAs) zijn, biedt het American Institute of Certified Public Accountants (AICPA) middelen om organisaties te verbinden met CPAs die ervaring hebben met cybersecurity. Het combineren van de twee skillsets helpt bij het ontwikkelen of waarborgen voor cybersecurity plannen.
voor bedrijven die net beginnen met IT-beveiligingscontroles, deelt de AICPA ook onderzoek om belangrijke beslissingen te ondersteunen, evenals een kader voor het bepalen van manieren om effectieve cybersecurity risicobeheerpraktijken te creëren.
aangezien malware-aanvallen en ransomware-aanvallen bedrijven blijven teisteren, moeten bedrijven zichzelf beschermen en ervoor zorgen dat hun klanten veilig zijn. Een datalek kan leiden tot faillissement, vooral voor kleine bedrijven.
Wat Is een IT-security Audit Trail?
het meest tijdrovende aspect van een IT-beveiligingsaudit is het aanmaken van het audittrail. Een audit trail bestaat uit de aan de auditor verstrekte documentatie die bewijs toont van processen om een IT-omgeving te beveiligen.
bij het voorbereiden van een IT-beveiligingsaudit moeten bedrijven beginnen met het organiseren van de documenten die aan de auditvereisten voldoen. De documentatie moet bedrijfs-en industriekennis bewijzen. Omdat de auditor het auditverslag van het vorige jaar zal lezen, is het verstandig dat een bedrijf het ook opnieuw bekijkt en bewijs verzamelt van corrigerende maatregelen. Daarnaast moeten bedrijven de risicobeoordelingen, artefacten van de naleving van de regelgeving statuten, en financiële informatie bewijs ontwikkeld in het lopende jaar tonen.
bovendien moet de IT-afdeling informatie verzamelen over de IT-organisatiestructuur, het beleid en de procedures, de normen, de personeelslijst, de prestaties van de werknemers en de processen, en interne controletests. Al deze documentatie toont feiten die het oordeel van de accountant over zijn eindrapport ondersteunen.
Wat is het verschil tussen algemene en Toepassingscontroles?
algemene controles zijn gericht op infrastructuur die van toepassing is op het gehele bedrijf, met inbegrip van, maar niet beperkt tot, IT. Algemene controles omvatten, maar zijn niet beperkt tot, operationele, administratieve, boekhoudkundige en organisatorische.
Toepassingsbesturingen richten zich op transacties en gegevens binnen computersystemen. Daarom zijn deze specifiek voor het IT-landschap van het bedrijf. Toepassingscontroles benadrukken de nauwkeurigheid van de gegevens, met name de input -, processing-en outputfunctie (IPO) van het bedrijf.
hoe stroomlijnt het automatiseren van het IT-beveiligingsproces het?
Het controleren van IT-beveiliging vereist enorme hoeveelheden documentatie. Saas tools, zoals ZenGRC, versnellen het proces van het aggregeren van informatie. Ze helpen ook belanghebbenden beter te communiceren. Wanneer meerdere gebieden van een organisatie zijn het maken en proberen om hun eigen controles te implementeren, security audit documentatie wordt log en tijdrovend om te compileren.
ZenGRC vereenvoudigt het IT-auditproces, te beginnen met de modules voor risicobeoordeling. ZenGRC biedt risk assessment modules die inzicht geven in zowel het leveranciersrisico als het bedrijfsrisico. De Risk Trend en Risk Responsibility graphics bieden gemakkelijk te verteren, kleurgecodeerde visuals die het management een beeld geven van het huidige risico van het bedrijf.
bovendien staat ZenGRC organisaties toe om hun auditdocumentatie op één locatie op te slaan. In tegenstelling tot gedeelde schijven, echter, ZenGRC stelt beheerders in staat om de gebruiker toegang efficiënt te matigen. Deze moderatie houdt records veilig tegen knoeien en vergemakkelijkt ook de communicatie. Terwijl sommige werknemers vereisen bewerken Toegang, sommige alleen maar nodig om documenten te bekijken. Met ZenGRC kunnen IT-professionals gebruikerstoegangsprotocollen volgen, zelfs binnen hun auditdocumentatieprocessen.
ten slotte genereert ZenGRC efficiënt rapporten die voldoen aan diverse behoeften. Het geeft de c-suite het overzicht dat ze nodig hebben om het IT-landschap te begrijpen, terwijl het tegelijkertijd IT-professionals een plek geeft om de diepte van de informatie te registreren die nodig is tijdens een IT-beveiligingsaudit.