Was ist ein IT Security Audit?
Published February 22, 2018 by Karen Walsh • 5 min read
Ein IT—Sicherheitsaudit verursacht oft Stress in einem Unternehmen – muss es aber nicht. Zum Schutz vor einem Datenbedrohungsereignis umfassen Sicherheitsaudits technische Überprüfungen, die über Konfigurationen, Technologien, Infrastruktur und mehr berichten. Diese Datendetails können diejenigen einschüchtern, die sich in der IT nicht so gut auskennen, aber das Verständnis der verfügbaren Ressourcen und Strategien zum Schutz vor modernen Angriffen macht die IT-Sicherheit weniger überwältigend.
Im Kern umfasst ein IT-Sicherheitsaudit zwei verschiedene Bewertungen. Die manuelle Bewertung erfolgt, wenn ein interner oder externer IT-Sicherheitsprüfer Mitarbeiter interviewt, Zugriffskontrollen überprüft, den physischen Zugriff auf Hardware analysiert und Schwachstellen-Scans durchführt. Diese Überprüfungen sollten mindestens jährlich erfolgen. Einige Organisationen ziehen es jedoch vor, sie häufiger durchzuführen.
Organisationen sollten auch systemgenerierte Berichte überprüfen. Automatisierte Assessments berücksichtigen nicht nur diese Daten, sondern reagieren auch auf Softwareüberwachungsberichte und Änderungen an Server- und Dateieinstellungen.
Warum ist eine IT-Sicherheitsrisikobewertung wichtig?
Vor der Erstellung von Verfahren und Kontrollen rund um die IT-Sicherheit müssen Unternehmen ihre Risikoexposition bestimmen. ISACA stellt fest, dass es fünf Hauptgründe gibt, eine Sicherheitsrisikobewertung für Unternehmen einzurichten.Erstens kann eine Risikobewertung helfen, die finanziellen Ausgaben zu rechtfertigen, die zum Schutz einer Organisation erforderlich sind. Informationssicherheit hat ihren Preis. Knappe Budgets bedeuten, dass es schwierig sein kann, zusätzliche Ausgaben zu genehmigen. Eine IT-Sicherheitsrisikobewertung artikuliert kritische Risiken und quantifiziert Bedrohungen für Informationsressourcen. Durch die Schulung interner Stakeholder, damit sie nicht nur das Risiko, sondern auch den Wert der Minderung kritischer Risiken erkennen können, hilft eine Sicherheitsrisikobewertung, Sicherheitsinvestitionen zu rechtfertigen.Zweitens tragen Risikobewertungen dazu bei, die Produktivität der IT-Abteilung zu optimieren. Durch die Formalisierung der Strukturen, die die laufende Überwachung unterstützen, können sich IT-Abteilungen darauf konzentrieren, die Dokumentation proaktiv zu überprüfen und zu sammeln, anstatt defensiv auf Bedrohungen zu reagieren.
Darüber hinaus können Assessments helfen, Barrieren abzubauen. Beginnend mit einer Sicherheitsrisikobewertung bringt Unternehmensleitung und IT-Mitarbeiter auf die gleiche Seite. Das Management muss Entscheidungen treffen, die Risiken mindern, während die IT-Mitarbeiter sie umsetzen. Die Zusammenarbeit mit derselben Risikobewertung gibt allen die Informationen, die sie zum Schutz des Unternehmens benötigen, und erleichtert die Beteiligung an Sicherheitsbemühungen über die IT-Abteilung hinaus.
Enterprise Security Risk Assessments bilden auch die Grundlage für die Selbstüberprüfung. Während die IT-Mitarbeiter die technischen System-, Netzwerk- und Anwendungsinformationen kennen, hängt die Implementierung von Mitarbeitern in anderen Geschäftsbereichen ab. Risikobewertungen bieten zugängliche Berichte, die sich auf umsetzbare Informationen konzentrieren, sodass alle Beteiligten die entsprechende Verantwortung übernehmen können. Um eine Kultur der Compliance zu fördern, kann Sicherheit nicht isoliert betrieben werden.
Schließlich helfen Sicherheitsrisikobewertungen, Informationen abteilungsübergreifend auszutauschen. Bei individualisierten Anbietern und Systemen wissen verschiedene Abteilungen innerhalb einer Organisation möglicherweise nicht, was andere tun. Da das obere Management in größeren Unternehmen alle Verantwortung teilen muss, liefern Assessments die notwendigen Erkenntnisse für sinnvolle Diskussionen zur Unterstützung der IT-Sicherheit.
Was macht ein IT Security Auditor?
IT-Sicherheitsauditoren bieten eine Vielzahl von Funktionen. Sie überprüfen die Abläufe, die Finanzberichterstattung und die Compliance einer Organisation. Während diese Bereiche getrennt zu sein scheinen, schneiden sich die drei an mehreren Stellen.Wirtschaftsprüfungen beinhalten mehr als nur die Standardprüfung der Bücher eines Unternehmens. Als der Kongress den Sarbanes-Oxley Act von 2002 (SOX) verabschiedete, enthielt die Gesetzgebung Abschnitt 404. Abschnitt 404 schreibt Prüfungen des Finanzberichterstattungssystems vor, um die Einhaltung der internen Kontrollen des Unternehmens sicherzustellen. IT-Sicherheit, Compliance und Finanzberichterstattung überschneiden sich bei diesen gesetzlich vorgeschriebenen Überprüfungen.
Ein weiterer Bereich, in dem sich die drei überschneiden, ist die SOC-Berichterstattung. Viele Kunden verlangen von ihren Lieferanten, dass sie ein SOC-Audit (Service Organization Control) durchführen. Unabhängig davon, ob sich ein Unternehmen für einen SOC 1-, SOC 2- oder SOC 3-Bericht entscheidet, muss es einen Auditor beauftragen, um die Datensicherheitsprotokolle des Unternehmens zu ermitteln. SOC-Berichte können als SOX-benachbart betrachtet werden. Für Organisationen, die ein zukünftiges SOX-Compliance-Mandat erwarten, kann das SOC-Reporting als wertvolle Vorbereitung dienen. Die Beauftragung eines IT-Sicherheitsprüfers trägt daher nicht nur zum Schutz der Informationsressourcen eines Unternehmens bei, sondern bietet auch die Möglichkeit, die Compliance zu skalieren.
Worauf sollte eine Organisation bei einem IT-Sicherheitsprüfer achten?
Obwohl nicht alle IT-Sicherheitsprüfer zertifizierte Wirtschaftsprüfer (Certified Public Accountants, CPAs) sind, bietet das American Institute of Certified Public Accountants (AICPA) Ressourcen, um Organisationen mit CPAs zu verbinden, die über Cybersicherheitserfahrung verfügen. Die Kombination der beiden Fähigkeiten hilft bei der Entwicklung oder Bereitstellung von Zusicherungen für Cybersicherheitspläne.
Für Unternehmen, die gerade erst mit IT-Sicherheitskontrollen beginnen, bietet die AICPA auch Forschungsergebnisse, die wichtige Entscheidungen unterstützen, sowie einen Rahmen für die Festlegung von Möglichkeiten zur Schaffung effektiver Cybersicherheitsrisikomanagementpraktiken.Da Malware-Angriffe und Ransomware-Angriffe Unternehmen weiterhin plagen, müssen Unternehmen sich selbst schützen und sicherstellen, dass ihre Kunden sicher sind. Eine Datenverletzung kann insbesondere für kleine Unternehmen zur Insolvenz führen.
Was ist ein IT Security Audit Trail?
Der zeitaufwändigste Aspekt eines IT-Sicherheitsaudits ist die Erstellung des Audit-Trails. Ein Audit Trail besteht aus der dem Auditor zur Verfügung gestellten Dokumentation, die den Nachweis von Prozessen zur Sicherung einer IT-Umgebung erbringt.
Bei der Vorbereitung auf ein IT-Sicherheitsaudit müssen Unternehmen zunächst die Dokumente organisieren, die den Auditanforderungen entsprechen. Die Dokumentation muss Geschäfts- und Branchenkenntnisse nachweisen. Da der Abschlussprüfer den Prüfungsbericht des Vorjahres liest, ist es für ein Unternehmen ratsam, ihn ebenfalls zu überprüfen und Beweise für Korrekturmaßnahmen zu sammeln. Darüber hinaus müssen Unternehmen die im laufenden Jahr entwickelten Risikobewertungen, Artefakte zur Einhaltung der aufsichtsrechtlichen Vorschriften und Nachweise für Finanzinformationen vorlegen.Darüber hinaus muss die IT-Abteilung Informationen über die IT-Organisationsstruktur, Richtlinien und Verfahren, Standards, Personalliste, die Leistung von Mitarbeitern und Prozessen sowie interne Kontrolltests sammeln. Alle diese Unterlagen zeigen Fakten, die die Meinung des Abschlussprüfers zu seinem Abschlussbericht stützen.
Was ist der Unterschied zwischen allgemeinen und Anwendungskontrollen?
Die allgemeinen Kontrollen konzentrieren sich auf jene Infrastrukturen, die für das gesamte Unternehmen gelten, einschließlich, aber nicht beschränkt auf die IT. Zu den allgemeinen Kontrollen gehören unter anderem betriebliche, administrative, buchhalterische und organisatorische Kontrollen.
Anwendungskontrollen konzentrieren sich auf Transaktionen und Daten in Computeranwendungssystemen. Daher sind diese spezifisch für die IT-Landschaft des Unternehmens. Anwendungskontrollen betonen die Datengenauigkeit, insbesondere die Eingabe-, Verarbeitungs- und Ausgabefunktion (IPO) des Unternehmens.
Wie optimiert die Automatisierung des IT-Sicherheitsprozesses die IT?
Die Prüfung der IT-Sicherheit erfordert eine große Menge an Dokumentation. SaaS-Tools wie ZenGRC beschleunigen den Prozess der Aggregation von Informationen. Sie helfen auch den Stakeholdern, besser zu kommunizieren. Wenn mehrere Bereiche einer Organisation eigene Kontrollen erstellen und versuchen, diese zu implementieren, wird die Erstellung der Dokumentation für Sicherheitsaudits unhandlich und zeitaufwändig.
ZenGRC vereinfacht den IT-Audit-Prozess, beginnend mit seinen Risikobewertungsmodulen. ZenGRC bietet Risikobewertungsmodule an, die Einblick in das Anbieterrisiko und das Unternehmensrisiko geben. Die Grafiken zum Risikotrend und zur Risikoverantwortung bieten leicht verständliche, farbcodierte Grafiken, die dem Management einen Überblick über das aktuelle Risiko des Unternehmens geben.
Darüber hinaus ermöglicht ZenGRC Organisationen, ihre Audit-Dokumentation an einem Ort zu speichern. Im Gegensatz zu freigegebenen Laufwerken ermöglicht ZenGRC Administratoren jedoch, den Benutzerzugriff effizient zu moderieren. Diese Moderation schützt Aufzeichnungen vor Manipulationen und erleichtert auch die Kommunikation. Während einige Mitarbeiter Bearbeitungszugriff benötigen, müssen andere lediglich Dokumente anzeigen. Mit ZenGRC können IT-Experten Benutzerzugriffsprotokolle auch innerhalb ihrer Audit-Dokumentationsprozesse befolgen.
Schließlich generiert ZenGRC effizient Berichte, die unterschiedliche Anforderungen erfüllen. Es gibt der C-Suite den Überblick, den sie benötigen, um die IT-Landschaft zu verstehen, und gibt IT-Fachleuten gleichzeitig die Möglichkeit, die während eines IT-Sicherheitsaudits erforderlichen Informationen zu erfassen.