网络攻击对任何组织来说都是毁灭性的,因为它会泄露敏感数据和, 结果是, 财务状况, 战略眼光, 更重要的是, 澳门赌场官方下载多年来建立的信任和信誉. 考虑到这种风险的严重性, IT安全审计功能在最小化风险可能性和影响方面发挥了什么作用? 以及为什么采用集成的it和安全审计方法很重要? 寻找跨多个框架利用控制和测试的方法可以节省组织在审核期间的时间和精力,同时提供更全面的审核视图, 遵从性和安全性状态.
什么是安全审计?
安全审计是对组织的安全状况和IT基础设施的全面评估. 进行IT安全审计有助于组织发现和评估其IT网络中存在的漏洞, 互联设备和应用. 它为组织提供了修复安全漏洞和实现合规性的机会.
但是安全审计并不是那么简单和直接的. 今天,许多组织由于必须遵守的遵从性要求而经历了大量的审计, 为潜在的审计做准备的评估过程可能是压倒性的.
为什么要进行安全审计?
执行安全审计有几个原因. 它们包括6个目标:
- 识别安全问题、漏洞和系统弱点.
- 建立一个安全基线,以便将来的审计与之进行比较.
- 遵守组织内部安全政策.
- 遵守外部法规要求.
- 确定安全培训是否足够.
- 识别不必要的资源.
安全审计有助于保护关键数据, 识别安全漏洞, 创建新的安全策略并跟踪安全策略的有效性. 定期安排的审计可以帮助确保组织拥有适当的安全实践,并鼓励组织建立程序,在持续的基础上暴露新的漏洞.
什么时候需要进行安全审计?
组织多久进行一次安全审计取决于它所属的行业, 其业务和结构的需求以及必须审核的系统和应用程序的数量. 处理大量敏感数据的组织, 比如金融机构和医疗保健提供商, 是否可能更频繁地进行审计. 只使用1到2个应用程序的澳门赌场官方下载会发现更容易进行安全审计,并且可能会更频繁地进行安全审计. 外部因素,例如法规要求(例如.g.美国联邦风险和授权管理计划(FEDRAMP)也会影响审计频率. 然而, 每季度或每月的审计可能超过大多数组织有时间或资源来完成. 组织选择多久进行一次安全审计的决定因素取决于所使用系统的复杂性以及系统中数据的类型和重要性. 如果系统中的数据被认为是必不可少的, 然后,该系统可能会被更频繁地审计, 但是需要时间进行审计的复杂系统可能不那么频繁地被审计.
如果系统中的数据被认为是必不可少的, 然后,该系统可能会被更频繁地审计, 但是需要时间进行审计的复杂系统可能不那么频繁地被审计.
组织应该在数据泄露后进行特殊的安全审计, 系统升级或数据迁移, 或者当遵从性法律发生变化时, 当一个新系统已经实现,或者当业务增长超过一定数量的用户时. 这些一次性审计可以集中在事件可能打开安全漏洞的特定区域. 例如, 如果数据泄露刚刚发生, 对受影响的系统进行审计可以帮助确定哪里出了问题.
审计涵盖哪些系统?
在安全审计期间, 组织使用的每个系统都可能被评估在特定领域的漏洞,包括:
- 网络漏洞-审计人员寻找任何网络组件的弱点,攻击者可以利用这些弱点访问系统或信息或造成损害. 信息在两点之间传递时尤其脆弱. 安全审计和定期网络监控可以跟踪网络流量, 包括电子邮件, 即时消息, 文件及其他通讯. 网络可用性和接入点也包括在这部分审计中.
- 安全控制-在这部分审计期间, 审核员关注组织安全控制的有效性. 这包括评估组织为保护其数据和系统而制定的政策和程序的实施情况.
- 加密-这部分审核验证组织是否有适当的控制措施来管理数据加密过程.
- 软件系统-检查软件系统,确保其工作正常,提供准确的信息,并采取适当的控制措施,防止未经授权的用户获取私人数据. 审查的领域包括数据处理、软件开发和计算机系统.
- 架构管理能力-审核员确认IT管理层有适当的组织结构和程序,以创建一个有效和受控的环境来处理数据.
- 电信管制-审核员检查客户端的电信控制是否有效, 服务器端和连接它们的网络.
- 系统开发审核-涵盖这一领域的审核,验证正在开发的任何系统是否符合组织设定的安全目标. 这部分审计也是为了确保正在开发的系统遵循既定标准.
- 信息处理-这些审计验证数据处理安全措施是否到位.
加强内部审计与信息技术的合作
健全的网络安全战略采用三管齐下的方法:预防、检测和补救. 内部审计的作用主要分为前两类:检测网络安全漏洞和控制问题,通过频繁的审计和建议来预防重大网络威胁和风险. 这些目标不能孤立地实现, 而是与IT部门持续合作.
在内部审计和IT之间建立良好的关系有很多好处. 例如, 内部审计提供了对信息安全框架和控制的公正和独立的审查,使IT团队能够设计更好的控制或解决以前可能忽略的领域. 内部审计支持IT团队的工作,以获得管理层对安全策略的支持,并帮助确保员工认真对待其安全遵从性责任.
内部审计支持IT团队的工作,以获得管理层对安全策略的支持,并帮助确保员工认真对待其安全遵从性责任.
So, 内部审计是很重要的, 连同审计委员会, 定期与首席信息官(CIO)和首席信息安全官(CISO)会面,讨论重要的网络安全问题,并分享对新兴威胁的见解, 漏洞和网络安全法规. 拥有一个帮助团队有效沟通和协调审计活动的工具也很重要, 比如开源映射(例如.g.、安全控制架构(SCF).
采用综合方法进行资讯科技及保安审核
网络安全计划最基本的要求是确保风险, 威胁和控制以一致的方式进行沟通和报告. 这就需要审核来帮助组织创建一种通用的风险语言. 审计团队需要采用风险因素和控制的标准化库, 技术使聚合变得简单, 沟通和分析安全数据.
另一个最佳实践是拥有一个集中的数据存储库,审计和IT团队可以轻松地维护该存储库, 访问和共享关键数据. 团队还可以将安全风险区域映射到可审计的实体、IT资产、控制和法规. 这种紧密集成的数据模型应该允许审计和IT团队确定网络安全风险或无效控制如何影响澳门赌场官方下载,以便他们能够主动提供建议来解决问题.
集成审计还减轻了审计团队和IT/工程人员的压力, 因为收集到的证据可以测试一次,并在共享范围的适用框架中使用,而不是在一年中的不同时间收集. 通过交叉测试共享控制来提高效率,可以将资源集中在日常操作上,而不需要全年处于永久的审计模式.
为综合审核制定最佳计划, 组织必须首先确保测试环境的范围对于可应用框架是相似的. 一旦定义了范围, 然后,组织可以努力理解可以在整个澳门赌场官方下载中测试的类似控制. 在很多情况下, 组织从安全策略和过程开始,因为它们倾向于应用于整个组织, 然后考虑网络系统的技术测试,以进一步提高效率.
集成框架
几乎任何框架都可以以集成的方式处理. 最重要的方面是范围尽可能紧密地对齐. 最常见的标准, 可以集成的框架和法规是国际标准组织(ISO)标准ISO 27001, SOC 2 Type 2, 支付卡行业合规报告(ROC), 以及美国健康保险流通与责任法案(HIPAA). 可以利用上述框架的组织的一个示例是医疗保健垂直行业的计费服务提供商. 在这种情况下, the organization would be required to comply with HIPAA due to its relationship to the healthcare provider; the payment card industry because it accepts credit cards for payments; and ISO 27001 and SOC 2 Type 2 because of internal security demands that would require ISO and SOC audits to test processes and systems. 能够将范围与这些标准结合起来的组织, 框架和法规在测试中获得了大量的效率,并且对其整体安全状态和遵从性义务具有更大的可见性.
大局观
十年前, 审计人员参与评估数据安全风险和控制是不寻常的. 然而, 在今天的数字化澳门赌场官方下载中, 数据已经成为面临最严重安全威胁的关键组织资产. IT和安全部门无法孤立地应对这些威胁. 审计小组是一个重要的盟友,必须与IT部门联合起来,与董事会(BoD)合作。, 管理层和一线团队建立一个真正集成和强大的网络安全战略,重点是预测和降低风险,建立网络安全弹性.
查德马丁,CISA, CISSP, ISO/IEC 27001 LA, PCI QSA
是Coalfire Systems, Inc .的集团产品经理. 重点关注威胁、漏洞和攻击面管理. 他拥有超过20年的IT和网络安全咨询和审计经验,