首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / IT审计结果的重复历史

IT审计结果的重复历史

保罗米. 佩里
作者: 保罗米. 佩里, CISM, CDPSE, ctp, CPA
发表日期: 2022年6月15日

尽管术语“IT审计”在不同的组织中可能根据行业需求及其适用的框架有不同的定义, 这种审计的结果通常是相当可预测的. 无论给审计发现什么名称(e).g., 建议, 缺陷, 弱点, 异常, 偏差, 控制空白), 他们通常是一致的, 在大多数情况下, (审计)历史重演——即使在同一实体内, 年复一年. 如果你能理解为什么会这样, 那么IT审计的结果将没有任何价值(除了第三方验证当前控制的概念)。, IT行业的许多人对此都很期待. 资源的限制——包括资金和人力——往往是导致审计不满意的罪魁祸首. 有必要检查一些典型的It审计发现,并就如何防止将来发生异常提供建议.

我仍然可以使用它?

在IT审计中发现的主要缺陷与仍然可以访问系统(或网站)的分离用户有关。. 将活跃用户帐户与人力资源(HR)生成的终止(或转移)员工列表进行比较,可以快速定义可能遗漏的用户访问更改. 定期进行有效的用户访问控制审查也有助于发现应该删除的未经授权的访问,并建议应该对系统或网站进行设计更改(例如.e.,采用最少特权策略). 组织可能会试图争辩说,做安全正确99.4%的时间应该庆祝, 虽然大多数人不会不同意, 重要的是要记住,只要有一个人可以不受限制地访问数据和系统,安全措施就会失效.

定期执行有效的用户访问控制审查可以帮助检测未经授权的访问,并通知应该对系统或网站进行的设计更改.

教育,教育,教育

审计过程中可能发现的另一个可能对其他领域(包括网络责任保险)产生深远影响的控制措施是缺乏对员工的网络安全意识培训. 很难识别无效的网络安全意识培训计划, 但托管周期(i).e., 每月, 季度, (每年)为员工举办的培训网络研讨会或演讲是防止在IT审计的这一领域重复发表意见的有效缓解策略. 在网络责任保险报表上, 大多数保险公司在违规调查期间发现员工缺乏网络安全意识培训, 最终, 以这种疏忽为由不赔偿保单. 这不是法律建议, 然而, 澳门赌场官方下载必须尽自己的一份力,教育员工使用IT的什么该澳门赌场官方软件不该做.

外包责任

就适当的IT控制而言,有效的供应商管理是组织的另一个弱点,而且基于全球实体越来越多地使用旨在协助日常操作和信息安全的外包服务,这一点非常重要. 这种不足通常是由于承包服务的同时也外包了责任. 不幸的是, 组织通常的心态是“设定了就忘了”,或者更确切地说, “这就是我们雇佣供应商来做的.”

有效的供应商管理可以通过在供应商最终入职之前对其进行风险评估来实现, 这可能包括审查安全或控制相关的报告(例如.g., IS审计报告, 安全运营中心[SOC]报告, 脆弱性评估, 渗透[渗透]测试报告)和/或正在进行的关于供应商提供什么服务以及操作如何进行的讨论. 组织不希望在发生违规行为后发现,他们的第三方供应商由一个人组成,在他们房子的地下室里,几乎没有任何物理或技术控制. 一些命令式动作包括:

  • 确认供应商是否对员工进行背景调查
  • 了解供应商是否有可靠的IT控制措施来防止未经授权的访问
  • 了解供应商是否主动响应安全问题和事件

这些事项应定期处理,并涉及就商定采取的行动进行持续讨论.

注意其他缺陷

虽然上述因素非常复杂,可以在单独的文章中讨论, 它们为理解在IT审计期间常见的控制缺陷提供了一个很好的起点. 组织文化和高层的语气在如何彻底地定期解决缺陷方面发挥着作用. 缺乏适当的语气或文化很容易被发现,并且可以指出整个组织的问题.

常见的缺陷包括:

  • 缺乏用于远程访问系统和网站的多因素身份验证(MFA)利用每一个机会雇佣MFA将很快成为一种必须,而不是最佳做法. 大多数软件应用程序和网站都有可以激活的MFA设置, 但如果不是, 通常可以将支持MFA的第三方软件应用程序添加到系统中.
  • 不定期备份或加密数据-应创建与正常业务操作一致的备份计划,并在所有设备和网络上采用加密. 备份也应该与原始数据放在一个单独的位置.
  • 不充分或未经测试的事件响应和灾难恢复计划-虽然制定计划很重要, 涉众必须确保通过定期的桌面练习(或者当关键人员或系统发生变化时)或通过执行实时恢复来测试它.
  • 缺乏关于信息安全和技术的所有活动和实践的书面政策和程序-文件化的安全策略确保组织可以引用关于应该采取的IT和安全行动的一致事实. 一套指导方针可以帮助每个人回到正轨, 特别是在雇佣新员工或发生安全事件时.
  • 关于认证和密码强化的参数或策略不足(例如.g.、活动目录)-遵循严格的密码政策(例如.e., 根据长度和复杂性(最佳实践),威胁参与者更难以猜测密码或进行暴力攻击.
  • 缺乏内部漏洞扫描或外部渗透测试-利用专家和软件定期测试网络是否存在未修补的威胁或安全边界内可能被威胁行为者利用的未知漏洞.

结论

找到合适的框架来实现适当的IT控制是一项挑战. 但是,已经开发了几个相关的框架,例如 COBIT®,这是相当全面的,并遵循适当控制的系统模式. 尽管一些框架可能有不同的重点领域,强调控件的不同方面, 所有这些都是为了帮助澳门赌场官方下载了解如何根据相关风险评估IT资产并确定优先级,从而花费时间和资源, 设计和执行适当和具有成本效益的缓解战略.

保罗米. 佩里, CISM, CDPSE, ctp, CPA

是保安局的成员和实务领导, Warren Averett注册会计师和顾问公司的风险和控制小组. 他和他的团队专注于网络安全, IT项目, 风险评估, 内部控制, 内部审计和控制相关项目,包括系统和组织控制项目.