Ce este un Audit de securitate IT?
publicat pe 22 februarie 2018 de Karen Walsh • 5 min read
un audit de securitate IT cauzează adesea stres în cadrul unei companii—dar nu este nevoie. Ajutând la protejarea împotriva unui eveniment de amenințare a datelor, auditurile de securitate implică revizuiri tehnice care raportează configurații, tehnologii, infrastructură și multe altele. Aceste detalii de date care pot intimida pe cei care se simt mai puțin decât experți în IT, dar înțelegerea resurselor și strategiilor disponibile pentru a proteja împotriva atacurilor moderne face ca securitatea IT să fie mai puțin copleșitoare.
la rădăcină, un audit de securitate IT include două evaluări diferite. Evaluarea manuală are loc atunci când un auditor intern sau extern de securitate IT intervievează angajații, analizează controalele de acces, analizează accesul fizic la hardware și efectuează scanări de vulnerabilitate. Aceste recenzii ar trebui să aibă loc, cel puțin, anual. Cu toate acestea, unele organizații preferă să le facă mai frecvent.
organizațiile ar trebui, de asemenea, să revizuiască Rapoartele generate de sistem. Evaluările automate nu numai că încorporează aceste date, dar răspund și la rapoartele de monitorizare a software-ului și la modificările aduse setărilor serverului și fișierelor.
De ce este importantă o evaluare a riscurilor de securitate IT?
înainte de a crea proceduri și controale în jurul securității IT, organizațiile trebuie să-și determine expunerea la risc. ISACA observă că există cinci motive principale pentru a stabili o evaluare a riscurilor de securitate a întreprinderii.în primul rând, o evaluare a riscurilor poate ajuta la justificarea cheltuielilor financiare necesare pentru a proteja o organizație. Securitatea informațiilor are un cost. Bugetele strânse înseamnă că cheltuielile suplimentare pot fi dificile pentru a fi aprobate. O evaluare a riscurilor de securitate IT articulează riscurile critice și cuantifică amenințările la adresa activelor informaționale. Prin educarea părților interesate interne, astfel încât să poată vedea nu numai expunerea, ci și valoarea atenuării riscurilor critice, o evaluare a riscurilor de securitate ajută la justificarea investițiilor în securitate.în al doilea rând, evaluările riscurilor ajută la Eficientizarea Productivității departamentului IT. Prin formalizarea structurilor care ajută la monitorizarea continuă, departamentele IT se pot concentra pe revizuirea și colectarea proactivă a documentației, mai degrabă decât pe răspunsul defensiv la amenințări.mai mult, evaluările pot ajuta la eliminarea barierelor. Începând cu o evaluare a riscurilor de securitate, managementul corporativ și personalul IT se află pe aceeași pagină. Managementul trebuie să ia decizii care să atenueze riscul în timp ce personalul IT le implementează. Lucrul împreună din aceeași evaluare a riscurilor oferă tuturor informațiile de care au nevoie pentru a proteja organizația și facilitează intrarea în eforturile de securitate dincolo de departamentul IT.
evaluările riscurilor de securitate ale întreprinderii stabilesc, de asemenea, baza pentru auto-revizuire. În timp ce personalul IT cunoaște sistemul tehnic, rețeaua și informațiile despre aplicații, implementarea depinde de personalul din alte unități de afaceri. Evaluările riscurilor oferă rapoarte accesibile axate pe informații care pot fi acționate, astfel încât toți cei implicați să își poată asuma nivelul adecvat de responsabilitate. Pentru a promova o cultură a conformității, securitatea nu poate funcționa izolat.în cele din urmă, evaluările riscurilor de securitate ajută la schimbul de informații între departamente. Cu furnizori și sisteme individualizate, diferite departamente din cadrul unei organizații ar putea să nu știe ce fac alții. Deoarece managementul superior din cadrul companiilor mai mari trebuie să împartă responsabilitatea, evaluările oferă cunoștințele necesare pentru discuții semnificative care susțin securitatea IT.
ce face un Auditor de securitate IT?
auditorii de securitate IT oferă o varietate de funcții. Ei revizuiesc operațiunile unei organizații, raportarea financiară și conformitatea. În timp ce aceste zone par segregate, cele trei se intersectează în mai multe locuri.
auditurile financiare includ mai mult decât revizuirea standard a cărților unei companii. Când Congresul a adoptat Legea Sarbanes-Oxley din 2002 (SOX), legislația a inclus secțiunea 404. Secțiunea 404 impune audituri ale sistemului de raportare financiară pentru a asigura conformitatea cu controalele interne ale companiei. Securitatea IT, conformitatea și raportarea financiară se suprapun în aceste revizuiri obligatorii din punct de vedere legal.
o altă zonă în care cele trei se intersectează se află în raportarea SOC. Mulți clienți solicită furnizorilor lor să finalizeze un audit de control al organizației de servicii (soc). Dacă o companie decide să se angajeze într-un raport SOC 1, SOC 2 sau soc 3, va trebui să angajeze un auditor pentru a determina protocoalele de securitate a datelor companiei. Raportarea SOC poate fi privită ca adiacentă SOX. Pentru organizațiile care anticipează un viitor mandat de conformitate SOX, raportarea SOC poate servi ca pregătire valoroasă. Prin urmare, angajarea unui auditor de securitate IT nu numai că ajută la protejarea activelor informaționale ale unei companii, dar oferă oportunități de a scala conformitatea acesteia.
ce ar trebui să caute o organizație într-un Auditor de securitate IT?
deși nu toți auditorii de securitate IT sunt Contabili Publici certificați (CPAs), Institutul American al Contabililor Publici certificați (AICPA) oferă resurse pentru a conecta organizațiile cu CPAs care au experiență în domeniul securității cibernetice. Combinarea celor două seturi de competențe ajută la dezvoltarea sau furnizarea de asigurări pentru planurile de securitate cibernetică.pentru companiile care abia încep cu controalele de securitate IT, AICPA împărtășește, de asemenea, cercetări pentru a ajuta deciziile importante, precum și un cadru pentru determinarea modalităților de a crea practici eficiente de gestionare a riscurilor de securitate cibernetică.pe măsură ce atacurile malware și atacurile ransomware continuă să afecteze întreprinderile, companiile trebuie să se protejeze și să se asigure că clienții lor sunt în siguranță. O încălcare a datelor poate duce la faliment, în special pentru întreprinderile mici.
ce este o pistă de Audit de securitate IT?
aspectul cel mai consumator de timp al unui audit de securitate IT este crearea pistei de audit. O pistă de audit constă în documentația furnizată auditorului care prezintă dovada proceselor de securizare a unui mediu IT.
atunci când se pregătesc pentru un audit de securitate IT, companiile trebuie să înceapă prin organizarea documentelor care îndeplinesc cerințele de audit. Documentația trebuie să dovedească cunoștințe de afaceri și industrie. Deoarece auditorul va citi raportul de audit din anul precedent, este înțelept ca o companie să îl revizuiască și să adune dovezi ale acțiunilor corective. În plus, companiile trebuie să prezinte evaluările riscurilor, Artefactele de conformitate cu statutele de reglementare și dovezile de informații financiare dezvoltate în anul curent.
Mai mult, departamentul IT trebuie să adune informații care să arate structura organizațională IT, politicile și procedurile, standardele, lista personalului, performanța angajaților și a proceselor și testele de control intern. Toată această documentație prezintă fapte care susțin opinia auditorului cu privire la raportul final.
care este diferența dintre controalele generale și cele ale aplicațiilor?
controalele generale se concentrează asupra infrastructurilor aplicabile întregii activități, inclusiv, dar fără a se limita la aceasta. Controalele generale includ, dar nu se limitează la, operaționale, administrative, contabile și organizaționale.
controalele aplicațiilor se concentrează pe tranzacții și date în cadrul sistemelor de aplicații informatice. Prin urmare, acestea sunt specifice peisajului IT al companiei. Controalele aplicației subliniază acuratețea datelor, în special funcția de intrare, procesare și ieșire (IPO) a companiei.
cum eficientizează automatizarea procesului de securitate IT?
auditarea securității IT necesită cantități mari de documentație. Instrumentele SaaS, cum ar fi ZenGRC, accelerează procesul de agregare a informațiilor. De asemenea, ajută părțile interesate să comunice mai bine. Atunci când mai multe zone ale unei organizații creează și încearcă să implementeze propriile controale, documentația de audit de securitate devine dificilă și consumă mult timp pentru a compila.ZenGRC simplifică procesul de audit IT, începând cu modulele sale de evaluare a riscurilor. ZenGRC oferă module de evaluare a riscurilor care oferă o perspectivă atât asupra riscului furnizorului, cât și asupra riscului companiei. Tendința de risc și de risc responsabilitate Grafica oferă ușor de digerat, vizuale cu coduri de culori, care oferă de management o vedere a riscului actual al companiei.mai mult decât atât, ZenGRC permite organizațiilor să stocheze documentația de audit într-o singură locație. Spre deosebire de unitățile partajate, totuși, ZenGRC permite administratorilor să modereze eficient accesul utilizatorilor. Această moderare păstrează înregistrările în siguranță împotriva manipulării și facilitează, de asemenea, comunicarea. În timp ce unii angajați necesită acces la editare, unii trebuie doar să vizualizeze documente. ZenGRC permite profesioniștilor IT să urmeze protocoalele de acces ale utilizatorilor, chiar și în cadrul proceselor lor de documentare a auditului.în cele din urmă, ZenGRC generează eficient rapoarte care răspund nevoilor diverse. Oferă C-suite imaginea de ansamblu de care au nevoie pentru a înțelege peisajul IT, oferind în același timp profesioniștilor IT un loc pentru a înregistra profunzimea informațiilor necesare în timpul unui audit de securitate IT.