信息安全审计是在上升,而企业也将不仅加强他们的安全状况,但证明他们的努力给其他方,如监管机构。
审计是对系统、应用程序和其他IT组件的可测量的技术评估,可以涉及任意数量的人工和自动化过程。无论是由内部审计员还是外部顾问进行,它们都是公司评估自己在保护数据资源方面所处位置的有效方式。
专家们说,近年来备受瞩目的数据泄露事件迫使许多组织更仔细地审视自己的安全技术和政策。
安全技术提供商Websense的CISO首席信息官戴维•巴顿(David Barton)表示:“企业入侵事件的稳定数量的公开曝光,已导致立法者和合规组织加大了审查力度。”“一个全面的安全审计程序是满足那些合规组织的审查的一种方式。”
然而,审计可能是复杂的。研究公司国际数据公司(IDC)的电子发现和信息治理项目主管肖恩·派克说,目前有很多标准在使用,包括一些受监管行业的标准,以及一些由活跃的行业控制组织制定的独立标准。
派克说:“对于每个标准,都有更多的尝试将所需的审计组件封装到用于指导安全审计的控制或通用控制框架中。”每个控制框架通常都有大量的控件,用于帮助审计——从用户密码到数据存储或物理控制的任何控件。即使是最成熟的组织,审计也会让人难以招儿。”
云服务和移动技术的崛起等趋势使得审计变得更加复杂。
弗莱彻艾伦医疗保健公司的信息安全经理Rich Wyckoff说
派克说:“审计产生的直接方式之一是,很难确定企业数据在哪里,或者在整个业务流程中数据在哪里移动。”
以下是关于如何进行有效的安全审计专家的一些建议:
制定审核范围并做好必要的准备工作。“之前,实际上是执行了审计工作的成功审计的键启动长,”在Fletcher亚伦医疗保健信息安全的经理Rich威科夫说。
与审计人员制定审计工作的范围事先商定他们会审核。“我说我要审计师帮我找商家我不知道的件的心态,”威科夫说。“虽然没有人喜欢看到自己组织的脏衣服,我们不能处理和解决,我们不知道什么是一个问题。”
通过与审核员预先开发范围,IT安全性可以确保审核员将花费时间检查业务操作的某些部分,并为安全性提供这些操作的公正视图。
除了确定审计的范围外,IT安全还需要与审计人员合作,以了解他们的议程上可能还有什么其他内容。
“不同的审核可能需要不同的资源,因此,了解审计范围,并安排了前允许你以确保适当的人员参加必要的会议,”威科夫说。“没有什么比坐下的审计会议,迅速实现你没有相应的资源在房间里回答审计人员正在寻找问问题变得更糟。”
一旦确定了范围并达成一致,您就可以开始准备工作了。威考夫说:“提前从审计人员那里拿到一份要求的项目清单是个好主意,这样你就能确切知道他们要找什么样的文件。”“如果任何云服务在审计范围内,你可能想要求任何服务审计,如SOC 1或SOC 2审计服务组织。”
安全技术公司Rapid7的信息安全副总裁Josh Feinblum补充说,在准备审计时,理解审计人员在看什么,以及它如何与你的环境相关是非常重要的。
“你的准备和反应完全取决于评估控制和审计目的,”Feinblum说。审核员是否使用规范的基准,如ISO 27001, FedRAMP,或PCI DSS?进行审计是为了帮助您的组织改进其控制吗?”
消除它与合规/审计职能之间的脱节。“这是重要的急剧,”派克说。“一个与IT审计的最大问题是,结果是没有意义的。究其原因,他们是没有意义的,因为IT控制和审计控制测试并不总是得到的潜在风险的根源“。
例如,控制测试可能请求验证用户密码是否每30天更改一次。“作为回应,IT专业人员可能会向审计人员提供一个域策略的截图,果然,显示了一个勾选框和一个30天更改密码的设置,”Pike说。
“问题是,这方面的证据本身并不能真正告诉审计人员,足以真正验证所有用户都被强制更改他们的密码每30天,”派克说。“可能有一些例外,或者允许用户密码保持不变无限期的技术问题。”
不幸的是,IT和审计职能之间经常缺乏协调。“审计师有一项任务要做,而IT专业人士可能将其视为一种负担,”派克说。双方需要就具体需要什么进行沟通。
杠杆效率。对于大多数组织而言,安全审计是很难,因为有太多的事情要做和审计师和IT组之间的知识差距,派克说。
派克说:“在过去的几年里,我们看到了缩小知识差距的两种方式。”一种方法是使用框架来整合审计控制测试。与其为了满足不同的标准而对一种控制进行一遍又一遍的审计,了解几种标准需要对某一特定控制进行审计会更有效。以一种有意义的方式进行控制并将结果通过每一个标准而不是做五次糟糕的审计
第二个,并缩小差距可能更重要的方式,就是用分析。“特别是针对企业市场也出现了注射审计过程转化为技术进步显著,”派克说。“这些解决方案可以消除误报和创建的,其中的系统可能有问题聚焦视图”。
派克说,主要的审计公司在高度监管的行业中领先开发定制系统,以应对著名的审计挑战。他表示:“目前,其中一些解决方案可能很昂贵,但在未来几年,它们应该会进入中端市场。”
确保审计是全面的。IT基础设施现在已经远远超出了组织的范围,审计需要反映这一点。
“我们的审计/评估是跨职能的,包括工具、流程和响应程序的评估,”媒体公司康卡斯特的企业高级副总裁兼全球CISO Myrna Soto说。“移动技术和云服务的出现扩大了”进行有效审计所需的技术能力。
Soto说,传统协议不能被假定适用于基于云的计算能力或数据存储等领域。她说:“对我们来说,测试存储在云中数据的容器和可移植性是很重要的,这是一种私有云基础设施。”
“网络分区已演变为云基础设施能力和有效的评估/多个漏洞审计必须考虑的结果。”
Soto说,举例来说,网络安全审计只考虑一个矢量,但当你评估物联网的某些东西时,包括执行多种功能的多个连接设备,这就需要对各种交易的安全协议进行全面的端到端评估。
“协议可以包括访问控制、数据屏蔽、身份验证和入侵预防,”索托说。“不用说,技术的发展需要评估需求的发展,最终需要审计实践的发展。”
巴顿同意,安全审核需要是全面的,覆盖的地区,如理解所有的入口和出口点的组织和应用到这些点的控制范围内的数据;知道所有的敏感信息存储在组织内;知道什么系统支持收入和他们居住有关的安全控制;和评估内部安全策略。
确保强大的审计领导。无论谁拥有审计职能,无论是CFO、CIO还是其他执行人员,都必须对审计的结果和有效性负责。
“我们希望,这将创造必要进行有效的审计文化的改变,”派克说。“这并不一定意味着违反的是他或她的错。它是什么意思,但是,是审计所有者应确保在[中]组织员工可以回答有关IT功能和架构困难的问题。”
如果审计人员外出现场审核通过健康保险流通与责任法案规定的环境中开发工作流程和知之甚少HIPAA,开发流程或实际工作流程,审计是不会工作,派克说。“审计人员必须有需要的方法所需的知识[一]审计持怀疑态度,”他说。
那些负责人需要确保审计反映组织内的最新技术趋势。移动、云、大数据/分析和社交媒体的共同影响给安全审计人员带来了新的挑战。
Gartner首席研究分析师胡什布•普拉塔普(Khushbu Pratap)表示:“对审计人员、首席信息官、首席信息官和风险专业人士来说,这是一条陡峭的学习曲线。”“数字商业创新颠覆了风险和安全管理。显然,这也给对此类风险提供独立担保带来了新的挑战。”
这个故事,“如何审计可以支撑你的安全策略”最初发表方案 。