高级IT审计领导开会讨论了各种各样的主题, 包括审计分析, IT审计在网络安全和事件管理中的作用, 以及敏捷/DevOps商店, 最近在日内瓦举行的IT审计领袖峰会上, 瑞士, 作为 EuroCACS / CSX公司2019. 与会者分享了意见和最佳实践, 并在新技术和商业实践的道路上制定了战略.
峰会以“变革世界中的审计分析”开场. 主持人Dietmar Hinkel指出了在审计中使用分析的好处,包括:
反过来,这:
- 创造价值
- 增加的见解
- 降低了成本
- 减轻风险
- 提高效率和效益
不管数据是来自抽样还是自动化, Hinkel指出,在核心, 审计员正在查看数据并加以综合. 而且,这种数据的综合是审计师真正增加价值的地方.
Ira Winkler提出了一个关于“高级持久安全”的会议,讨论了什么是“复杂攻击”.温克勒说,攻击者之所以成功,并不是因为他们技术先进或老练, 而是因为它们具有适应性和持久性.
在准备对抗适应性和持久性攻击者时, Winkler指出,IT审计在其中扮演着重要的角色, “阻止网络卫生故障”,减轻安全故障.
跟进温克勒的治疗, Andrew Neal主持了一场关于IT审计在网络攻击调查中的作用的讨论. Neal指出,面对网络攻击时,紧迫感往往会压倒风险管理. Neal建议通过了解澳门赌场官方下载的风险承受能力,在事件规划中采用哲学方法, 它的文化, 在事件结束时,它的目标应该是什么.g.,内部沟通,解决事件的时间等.). 然后,澳门赌场官方下载可以在该理念的背景下应用各种场景,以提供更健壮和灵活的事件计划. 当实际事件发生时, 澳门赌场官方下载可以采用这种哲学方法,并以手头的事件为中心.
Neal还指出,IT审计在事件管理中扮演着重要的角色. 审计可以将事件用业务术语解释给高级管理层. 审计对组织的熟悉程度, 参与IT和安全, 对过程和成熟度及其客观性的理解在执行这一角色时尤为重要.
接下来,viilius Benetis谈到了安全运营中心(soc)的重要性,这是IT审计人员应该了解的网络安全知识的一部分. He walked through the most successful SOCs; it isn’t the technology, 但是创意, 积极监控和降低网络风险的团队. 正如网络安全是人类vs. 人类,不是人类vs. 机, 建立一个既了解核心业务目标,又能执行网络安全战略的团队是关键. “我们必须将风险转化为价值,”他表示.
峰会闭幕, Guy Herbert领导了一个关于敏捷的讨论, DevOps和持续集成/持续开发. “说不比提出更好的方法容易,赫伯特说。, 谁相信利用持续开发过程是工作的未来.
代替“敏捷”,赫伯特更喜欢“敏捷”这个词,他说这意味着小, 频繁和快速的改变,以获得反馈并做出调整, 在您将时间和资源投入到失败的路径之前,允许进行适应性和航向修正. “当工作开放时,我们会释放所有团队的全部潜力,”他说. 开放式工作意味着共享环境、直接反馈和获取信息.
内部审计可以通过关注结果而不是输出来采用这种工作模式. 安全性必须是设计和控制目标的一部分.
编者按: 有关更多见解和IT审计行业趋势,请参阅 ISACA和Protiviti的2019年IT审计全球基准研究.
