Vad är en IT-säkerhetsrevision?
publicerad Februari 22, 2018 av Karen Walsh • 5 min läs
en IT—säkerhetsrevision orsakar ofta stress inom ett företag-men de behöver inte. Säkerhetsrevisioner hjälper till att skydda mot en datahothändelse och innebär tekniska granskningar som rapporterar om konfigurationer, teknik, infrastruktur och mer. Dessa datadetaljer som kan skrämma dem som känner sig mindre än experter på IT, men att förstå de resurser och strategier som finns tillgängliga för att skydda mot moderna attacker gör IT-säkerheten mindre överväldigande.
vid roten innehåller en IT-säkerhetsgranskning två olika bedömningar. Den manuella bedömningen sker när en intern eller extern IT-säkerhetsrevisor intervjuar anställda, granskar åtkomstkontroller, analyserar fysisk åtkomst till hårdvara och utför sårbarhetsskanningar. Dessa recensioner bör ske minst årligen. Vissa organisationer föredrar dock att göra dem oftare.
organisationer bör också granska systemgenererade rapporter. Automatiserade bedömningar innehåller inte bara dessa data utan svarar också på programövervakningsrapporter och ändringar av server-och filinställningar.
Varför är en IT-Säkerhetsriskbedömning viktig?
innan du skapar procedurer och kontroller kring IT-säkerhet måste organisationer bestämma sin riskexponering. ISACA konstaterar att det finns fem huvudskäl för att upprätta en bedömning av företagets säkerhetsrisk.
För det första kan en riskbedömning bidra till att motivera de finansiella utgifter som behövs för att skydda en organisation. Informationssäkerhet kommer till en kostnad. Strama budgetar innebär att ytterligare utgifter kan vara utmanande att bli godkända. En IT-säkerhetsriskbedömning formulerar kritiska risker och kvantifierar hot mot informationstillgångar. Genom att utbilda interna intressenter så att de inte bara kan se exponeringen utan också värdet av att mildra kritiska risker, hjälper en säkerhetsriskbedömning att motivera säkerhetsinvesteringar.
För det andra hjälper riskbedömningar att effektivisera IT-avdelningens produktivitet. Genom att formalisera de strukturer som underlättar löpande övervakning kan IT-avdelningar fokusera på att proaktivt granska och samla in dokumentation snarare än att defensivt svara på Hot.
dessutom kan bedömningar hjälpa till att bryta ner hinder. Att börja med en säkerhetsriskbedömning sätter företagsledning och IT-Personal på samma sida. Ledningen måste fatta beslut som minskar risken medan IT-personalen implementerar dem. Att arbeta tillsammans från samma riskbedömning ger alla den information de behöver för att skydda organisationen och underlättar inköp till säkerhetsinsatser utöver IT-avdelningen.
riskbedömningar för företagssäkerhet utgör också grunden för självgranskning. Även om IT-Personal känner till det tekniska systemet, nätverket och applikationsinformationen beror implementeringen på personal i andra affärsenheter. Riskbedömningar ger tillgängliga rapporter som är inriktade på handlingsbar information, så att alla inblandade kan ta lämplig ansvarsnivå. För att främja en efterlevnadskultur kan säkerheten inte fungera isolerat.
slutligen hjälper säkerhetsriskbedömningar att dela information mellan avdelningar. Med individualiserade leverantörer och system kanske olika avdelningar inom en organisation inte vet vad andra gör. Eftersom den övre ledningen inom större företag alla måste dela ansvaret, ger bedömningar den insikt som krävs för meningsfulla diskussioner som stöder IT-säkerhet.
Vad gör en IT-Säkerhetsrevisor?
it-säkerhetsrevisorer tillhandahåller en mängd olika funktioner. De granskar en organisations verksamhet, finansiell rapportering och efterlevnad. Medan dessa områden verkar segregerade, skär de tre på flera ställen.
finansiella revisioner innehåller mer än bara standardgranskningen av ett företags böcker. När kongressen antog Sarbanes-Oxley Act of 2002 (SOX) inkluderade lagstiftningen avsnitt 404. Avsnitt 404 kräver revisioner av finansiella rapporteringssystem för att säkerställa efterlevnad av bolagets interna kontroller. IT-säkerhet, efterlevnad och finansiell rapportering överlappar varandra i dessa juridiskt nödvändiga recensioner.
ett annat område där de tre skär är i SOC-rapportering. Många kunder kräver att deras leverantörer slutför en SoC-revision (Service Organization Control). Oavsett om ett företag beslutar att delta i en SoC 1, SOC 2 eller SOC 3-rapport, måste det anställa en revisor för att bestämma företagets datasäkerhetsprotokoll. SoC-rapportering kan ses som SOX-angränsande. För organisationer som förutser ett framtida Sox-efterlevnadsmandat kan SOC-rapportering fungera som värdefull förberedelse. Att anlita en IT-säkerhetsrevisor hjälper därför inte bara till att skydda ett företags informationstillgångar, utan erbjuder möjligheter att skala upp dess efterlevnad.
Vad ska en organisation leta efter i en IT-Säkerhetsrevisor?
Även om inte alla It-säkerhetsrevisorer är certifierade offentliga revisorer (CPA), erbjuder American Institute of Certified Public Accountants (AICPA) resurser för att ansluta organisationer med CPA som har erfarenhet av cybersäkerhet. Att kombinera de två färdigheterna hjälper till att utveckla eller ge försäkringar för cybersäkerhetsplaner.
för företag som just har börjat med IT-säkerhetskontroller delar AICPA också forskning för att underlätta viktiga beslut, samt ett ramverk för att bestämma sätt att skapa effektiva metoder för riskhantering för cybersäkerhet.
eftersom malware-attacker och ransomware-attacker fortsätter att plåga företag måste företag skydda sig och se till att deras kunder är säkra. Ett dataintrång kan leda till konkurs, särskilt för småföretag.
Vad är en IT-säkerhet Audit Trail?
den mest tidskrävande aspekten av en IT-säkerhetsrevision är att skapa verifieringskedjan. En verifieringskedja består av den dokumentation som lämnas till revisorn som visar bevis på processer för att säkra en IT-miljö.
När du förbereder dig för en IT-säkerhetsrevision måste företag börja med att organisera de dokument som uppfyller revisionskraven. Dokumentationen måste bevisa affärs-och branschkunskap. Eftersom revisorn kommer att läsa föregående års revisionsrapport är det klokt för ett företag att också se över det och samla bevis på korrigerande åtgärder. Dessutom, företag måste visa riskbedömningar, artefakter av överensstämmelse med lagstadgade stadgar, och finansiell information bevis utvecklats under innevarande år.
dessutom måste IT-avdelningen samla in information som visar it-organisationsstrukturen, policyer och procedurer, standarder, Personallista, anställdas och processers prestanda och interna kontrolltester. All denna dokumentation visar fakta som stöder revisorns åsikt om deras slutrapport.
Vad är skillnaden mellan allmänna och applikationskontroller?
allmänna kontroller fokuserar på de infrastrukturer som är tillämpliga på hela verksamheten, inklusive men inte begränsat till IT. Allmänna kontroller inkluderar, men är inte begränsade till, operativ, administrativ, redovisning och organisatorisk.
applikationskontroller fokuserar på transaktioner och data inom datorapplikationssystem. Därför är dessa specifika för företagets IT-landskap. Applikationskontroller betonar datanoggrannhet, särskilt företagets input, processing och output (IPO) – funktion.
hur effektiviserar automatiseringen av IT-säkerhetsprocessen det?
revision av IT-säkerhet kräver stora mängder dokumentation. SaaS-verktyg, som ZenGRC, påskyndar processen att aggregera information. De hjälper också intressenter att kommunicera bättre. När flera områden i en organisation skapar och försöker implementera sina egna kontroller blir säkerhetsrevisionsdokumentationen svår och tidskrävande att kompilera.
ZenGRC förenklar it-revisionsprocessen, som börjar med dess riskbedömningsmoduler. ZenGRC erbjuder riskbedömningsmoduler som ger insikt i både leverantörsrisk och företagsrisk. Risk Trend och Risk ansvar grafik ger lättsmält, färgkodade bilder som ger ledningen en bild av företagets nuvarande risk.
Dessutom tillåter ZenGRC organisationer att lagra sin revisionsdokumentation på en plats. Till skillnad från delade enheter gör ZenGRC dock administratörer att moderera användaråtkomst effektivt. Denna moderering håller register säkra från manipulering och underlättar också kommunikationen. Medan vissa anställda behöver redigeringsåtkomst behöver vissa bara visa dokument. ZenGRC tillåter IT-proffs att följa användaråtkomstprotokoll, även inom sina granskningsdokumentationsprocesser.
slutligen genererar ZenGRC effektivt rapporter som uppfyller olika behov. Det ger c-suite den Översikt de behöver för att förstå IT-landskapet, samtidigt som det ger IT-proffs en plats att registrera djupet av information som krävs under en IT-säkerhetsrevision.