O que é uma auditoria de segurança de TI?
publicado em 22 de fevereiro de 2018 por Karen Walsh • 5 min read
uma auditoria de segurança de TI muitas vezes causa estresse dentro de uma empresa—mas eles não precisam. Ajudando a proteger contra um evento de ameaça de dados, as auditorias de segurança envolvem revisões técnicas relatando sobre configurações, tecnologias, infraestrutura, e muito mais. Estes detalhes de dados que podem intimidar aqueles que se sentem menos-do-expert nele, mas compreender os recursos e estratégias disponíveis para proteger contra ataques modernos torna a segurança menos esmagadora.na sua raiz, uma auditoria de segurança das TI inclui duas avaliações diferentes. A avaliação manual ocorre quando um auditor de segurança de TI interno ou externo entrevista os funcionários, revê os controles de acesso, analisa o acesso físico ao hardware e realiza varreduras de vulnerabilidade. Estas revisões devem ocorrer, no mínimo, anualmente. Algumas organizações, no entanto, preferem fazê-las com mais frequência.as organizações devem também rever os relatórios gerados pelo sistema. Avaliações automatizadas não só incorporam esses dados, mas também respondem a relatórios de monitoramento de software e mudanças nas configurações de servidores e arquivos.por que é importante uma avaliação do risco de segurança das TI?antes de criar procedimentos e controles em torno da segurança de TI, as organizações precisam determinar sua exposição ao risco. A ISACA observa que existem cinco razões principais para estabelecer uma avaliação do risco de segurança da empresa.em primeiro lugar, uma avaliação de risco pode ajudar a justificar as despesas financeiras necessárias para proteger uma organização. A segurança da informação tem um custo. Orçamentos apertados significam que as despesas adicionais podem ser um desafio para ser aprovado. Uma avaliação do risco de segurança das TI articula os riscos críticos e quantifica as ameaças aos ativos da informação. Ao educar os stakeholders internos para que eles possam ver não só a exposição, mas também o valor de mitigar riscos críticos, uma avaliação de risco de segurança ajuda a justificar investimentos em segurança.em segundo lugar, as avaliações de risco ajudam a racionalizar a produtividade do Departamento de TI. Ao formalizar as estruturas que auxiliam o acompanhamento contínuo, os departamentos de TI podem se concentrar na revisão e coleta proativa de documentação, em vez de responder defensivamente às ameaças.além disso, as avaliações podem ajudar a eliminar barreiras. A partir de uma avaliação de risco de segurança coloca a gestão corporativa e a equipe de TI na mesma página. A gestão precisa de tomar decisões que atenuem os riscos enquanto o pessoal de TI os executa. Trabalhar em conjunto a partir da mesma avaliação de risco dá a todos as informações de que precisam para proteger a organização, e facilita o buy-in para os esforços de segurança além do Departamento de TI.as avaliações dos riscos para a segurança das empresas também estabelecem a base para a auto-revisão. Enquanto a equipe de TI conhece o sistema técnico, a rede e a informação da aplicação, a implementação depende do pessoal de outras unidades de Negócio. As avaliações de risco fornecem relatórios acessíveis centrados em informações passíveis de acção, de modo a que todos os envolvidos possam assumir o nível de responsabilidade adequado. Para promover uma cultura de conformidade, a segurança Não pode funcionar isoladamente.finalmente, as avaliações de risco de segurança ajudam a partilhar informações entre os departamentos. Com fornecedores e sistemas individualizados, diferentes departamentos dentro de uma organização podem não saber o que os outros estão fazendo. Uma vez que a gestão superior dentro das grandes empresas deve Todos partilhar a responsabilidade, as avaliações fornecem a visão necessária para discussões significativas que apoiam a segurança de TI. o que faz um Auditor de segurança das TI?os auditores de segurança de TI fornecem uma variedade de funções. Eles revisam as operações de uma organização, relatórios financeiros e conformidade. Embora estas áreas pareçam segregadas, as três Intersectam-se em vários lugares.auditorias financeiras incorporam mais do que apenas a revisão padrão dos livros de uma empresa. Quando o Congresso aprovou a Lei Sarbanes-Oxley de 2002 (SOX), a legislação incluiu a seção 404. A secção 404 exige auditorias de sistemas de relatórios financeiros para garantir o cumprimento dos controlos internos da empresa. A segurança informática, o cumprimento e a prestação de informação financeira sobrepõem-se nestas revisões legalmente exigidas.
outra área onde os três intersect estão na comunicação SOC. Muitos clientes exigem que seus fornecedores para completar uma auditoria de controle de organização de Serviços (SOC). Quer uma empresa decida participar de um relatório SOC 1, SOC 2, ou SOC 3, terá de contratar um auditor para determinar os protocolos de segurança de dados da empresa. SOC reporting pode ser visto como SOX-adjacent. Para as organizações que antecipam um futuro mandato de Conformidade SOX, relatórios SOC podem servir como preparação valiosa. Portanto, contratar um auditor de segurança de TI não só ajuda a proteger os ativos de informação de uma empresa, mas oferece oportunidades para escalar a sua conformidade.o que deve uma organização procurar num Auditor de segurança de TI?
embora nem todos os auditores de segurança de TI sejam Contabilistas Públicos Certificados( CPAs), o American Institute of Certified Public Accountants (AICPA) oferece recursos para conectar organizações com CPAs que têm experiência de cibersegurança. Combinar as duas competências ajuda a desenvolver ou fornecer garantias para os planos de cibersegurança.
para as empresas que estão apenas começando com os controles de segurança de TI, o AICPA também compartilha pesquisas para ajudar decisões importantes, bem como um quadro para determinar maneiras de criar práticas eficazes de gestão de risco de segurança cibernética.como ataques de malware e ataques de ransomware continuam a atormentar as empresas, as empresas precisam se proteger e garantir que seus clientes são seguros. Uma violação de dados pode levar à falência, especialmente para as pequenas empresas.o que é uma pista de auditoria de segurança de TI?
o aspecto mais demorado de uma auditoria de segurança de TI é a criação da pista de auditoria. Uma pista de auditoria consiste na documentação fornecida ao auditor que mostra provas de processos para garantir um ambiente de TI.ao preparar-se para uma auditoria de segurança de TI, as empresas precisam começar por organizar os documentos que satisfazem os requisitos de auditoria. A documentação precisa provar o conhecimento dos negócios e da indústria. Uma vez que o auditor irá ler o relatório de auditoria do ano anterior, é sensato que uma empresa também o reveja e reúna provas de medidas correctivas. Além disso, as empresas precisam mostrar as avaliações de risco, artefatos de conformidade com os estatutos regulatórios e evidências de informações financeiras desenvolvidas no ano em curso.além disso, o departamento de TI precisa de recolher informações que mostrem a estrutura organizacional, as políticas e os procedimentos das TI, os padrões, a lista de pessoal, o desempenho dos funcionários e processos e os testes de controlo interno. Toda esta documentação mostra factos que apoiam a opinião do auditor sobre o seu relatório final.
Qual é a diferença entre controlos Gerais e de Aplicação?os controlos Gerais centram-se nas infra-estruturas aplicáveis a toda a empresa, incluindo mas não se limitando a ela. Os controlos gerais incluem, mas não se limitam a, operacionais, administrativos, contabilísticos e organizacionais.os controlos das aplicações centram-se nas transacções e nos dados dos sistemas informáticos de Aplicação. Portanto, estes são específicos para a paisagem de TI da empresa. Os controles de Aplicação enfatizam a precisão dos dados, especificamente a função de entrada, processamento e saída da empresa (IPO).
como automatizar o processo de segurança de TI o Simplifica?
auditar a segurança de TI requer grandes quantidades de documentação. As ferramentas SaaS, como o ZenGRC, aceleram o processo de agregação de informações. Também ajudam as partes interessadas a comunicar melhor. Quando várias áreas de uma organização estão criando e tentando implementar seus próprios controles, a documentação de auditoria de segurança torna-se pesada e demorada para compilar.
ZenGRC simplifica o processo de auditoria de TI, começando pelos seus módulos de avaliação de risco. A ZenGRC oferece módulos de avaliação de riscos que dão uma visão tanto do risco do Fornecedor quanto do risco da empresa. A tendência de risco e os gráficos de responsabilidade de risco fornecem visuais fáceis de digerir, codificados por cores que fornecem à gerência uma visão do risco atual da empresa.além disso, a ZenGRC permite às organizações armazenar a sua documentação de auditoria num único local. Ao contrário de unidades compartilhadas, no entanto, ZenGRC permite que os administradores moderem o acesso ao usuário de forma eficiente. Esta moderação mantém os registros seguros de adulteração e também facilita a comunicação. Enquanto alguns funcionários necessitam editar o acesso, Alguns simplesmente precisam ver documentos. O ZenGRC permite que os profissionais de TI sigam os protocolos de acesso do utilizador, mesmo dentro dos seus processos de documentação de auditoria.finalmente, a ZenGRC gera relatórios que atendem a diversas necessidades. Ele dá ao C-suite a visão geral que eles precisam para entender a paisagem de TI, ao mesmo tempo que dá aos profissionais de TI um lugar para registrar a profundidade da informação necessária durante uma auditoria de segurança de TI.