信息安全审计正在兴起,因为组织不仅希望增强他们的安全姿态,而且还向其他方面(如监管机构)展示他们的努力。
审计是对系统、应用程序和其他IT组件的可测量的技术评估,可以涉及任意数量的人工和自动化过程。无论是由内部审计员还是外部顾问进行,它们都是公司评估自己在保护数据资源方面所处位置的有效方式。
专家们说,近年来备受瞩目的数据泄露事件迫使许多组织更仔细地审视自己的安全技术和政策。
安全技术提供商Websense的CISO首席信息官戴维•巴顿(David Barton)表示:“企业入侵事件的稳定数量的公开曝光,已导致立法者和合规组织加大了审查力度。”“一个全面的安全审计程序是满足那些合规组织的审查的一种方式。”
然而,审计可能是复杂的。研究公司国际数据公司(IDC)的电子发现和信息治理项目主管肖恩·派克说,目前有很多标准在使用,包括一些受监管行业的标准,以及一些由活跃的行业控制组织制定的独立标准。
派克说:“对于每个标准,都有更多的尝试将所需的审计组件封装到用于指导安全审计的控制或通用控制框架中。”每个控制框架通常都有大量的控件,用于帮助审计——从用户密码到数据存储或物理控制的任何控件。即使是最成熟的组织,审计也会让人难以招儿。”
云服务和移动技术的崛起等趋势使得审计变得更加复杂。
弗莱彻艾伦医疗保健公司的信息安全经理Rich Wyckoff说
派克说:“审计产生的直接方式之一是,很难确定企业数据在哪里,或者在整个业务流程中数据在哪里移动。”
以下是专家就如何进行有效的保安审核提出的建议:
制定审核范围并做好必要的准备工作。弗莱彻艾伦医疗保健公司(Fletcher Allen Health Care)的信息安全经理里奇•威考夫(Rich Wyckoff)表示:“审计成功的关键早在实际进行审计之前就已经开始了。”
制定审核范围,与审核员事先就审核内容达成一致。Wyckoff说:“我希望审计师能帮我找到我不了解的业务。”“虽然没有人喜欢看到自己组织的肮脏勾当,但我们无法解决我们不知道是问题的问题。”
通过与审核员预先开发范围,IT安全性可以确保审核员将花费时间检查业务操作的某些部分,并为安全性提供这些操作的公正视图。
除了确定审计的范围外,IT安全还需要与审计人员合作,以了解他们的议程上可能还有什么其他内容。
Wyckoff说:“不同的审计可能需要不同的资源,所以了解审计范围和提前安排可以确保合适的人参加必要的会议。”“没有什么比坐下来开审计会议更快地意识到你没有合适的资源来回答审计人员想要问的问题更糟糕的了。”
一旦确定了范围并达成一致,您就可以开始准备工作了。威考夫说:“提前从审计人员那里拿到一份要求的项目清单是个好主意,这样你就能确切知道他们要找什么样的文件。”“如果任何云服务在审计范围内,你可能想要求任何服务审计,如SOC 1或SOC 2审计服务组织。”
安全技术公司Rapid7的信息安全副总裁Josh Feinblum补充说,在准备审计时,理解审计人员在看什么,以及它如何与你的环境相关是非常重要的。
“你的准备和反应完全取决于评估控制和审计目的,”Feinblum说。审核员是否使用规范的基准,如ISO 27001, FedRAMP,或PCI DSS?进行审计是为了帮助您的组织改进其控制吗?”
消除IT和法规遵循/审计功能之间的任何断开。“这非常重要,”派克说。“IT审计的最大问题之一是结果往往毫无意义。它们之所以毫无意义,是因为它控制和审计控制测试并不总是触及潜在风险的根源。”
例如,控制测试可能请求验证用户密码是否每30天更改一次。“作为回应,IT专业人员可能会向审计人员提供一个域策略的截图,果然,显示了一个勾选框和一个30天更改密码的设置,”Pike说。
派克说:“问题在于,仅凭这些证据并不能让审计人员真正核实所有用户被迫每30天更换一次密码。”“可能会有一些例外情况或技术问题导致用户密码永远保持不变。”
不幸的是,IT和审计职能之间经常缺乏协调。“审计师有一项任务要做,而IT专业人士可能将其视为一种负担,”派克说。双方需要就具体需要什么进行沟通。
利用效率。派克说,对于大多数组织来说,安全审计是困难的,因为要做的事情太多,而且审计人员和IT部门之间存在知识鸿沟。
派克说:“在过去的几年里,我们看到了缩小知识差距的两种方式。”一种方法是使用框架来整合审计控制测试。与其为了满足不同的标准而对一种控制进行一遍又一遍的审计,了解几种标准需要对某一特定控制进行审计会更有效。以一种有意义的方式进行控制并将结果通过每一个标准而不是做五次糟糕的审计
第二,可能也是更重要的缩小差距的方法是使用分析。派克说:“特别是对企业市场而言,在将审计流程注入技术方面已经取得了重大进展。”“这些解决方案可以消除误报,并对系统可能存在的问题形成一个集中的观点。”
派克说,主要的审计公司在高度监管的行业中领先开发定制系统,以应对著名的审计挑战。他表示:“目前,其中一些解决方案可能很昂贵,但在未来几年,它们应该会进入中端市场。”
确保审计是全面的。IT基础设施现在已经远远超出了组织的范围,审计需要反映这一点。
“我们的审计/评估是跨职能的,包括工具、流程和响应程序的评估,”媒体公司康卡斯特的企业高级副总裁兼全球CISO Myrna Soto说。“移动技术和云服务的出现扩大了”进行有效审计所需的技术能力。
Soto说,传统协议不能被假定适用于基于云的计算能力或数据存储等领域。她说:“对我们来说,测试存储在云中数据的容器和可移植性是很重要的,这是一种私有云基础设施。”
“网络分区是云基础设施能力发展的结果,有效的评估/审计必须考虑到多重漏洞。”
Soto说,举例来说,网络安全审计只考虑一个矢量,但当你评估物联网的某些东西时,包括执行多种功能的多个连接设备,这就需要对各种交易的安全协议进行全面的端到端评估。
“协议可以包括访问控制、数据屏蔽、身份验证和入侵预防,”索托说。“不用说,技术的发展需要评估需求的发展,最终需要审计实践的发展。”
巴顿同意,安全审计需要是全面的,并涵盖诸如理解组织内数据的所有入口和出口点以及应用于这些点的控制等领域;了解组织内所有敏感信息的存储位置;了解哪些系统支持产生收益,以及它们驻留在与安全控制有关的地方;以及评估内部安全政策。
确保强有力的审计领导。无论谁拥有审计职能,无论是CFO、CIO还是其他执行人员,都必须对审计的结果和有效性负责。
派克表示:“我们希望,这将带来实施有效审计所必需的文化变革。”这并不一定意味着违约是他或她的错。然而,它真正的意思是,审计所有者应该确保组织中的员工能够回答有关it能力和架构的难题。”
派克说,如果一个审计人员在健康保险可移植性和问责法案所规定的环境下去实地审计一个开发工作流程,并且对HIPAA、开发流程或实际工作流程知之甚少,那么审计就不会起作用。他说:“审计人员必须具备必要的知识,才能以怀疑的态度对待审计工作。”
那些负责人需要确保审计反映组织内的最新技术趋势。移动、云、大数据/分析和社交媒体的共同影响给安全审计人员带来了新的挑战。
Gartner首席研究分析师胡什布•普拉塔普(Khushbu Pratap)表示:“对审计人员、首席信息官、首席信息官和风险专业人士来说,这是一条陡峭的学习曲线。”“数字商业创新颠覆了风险和安全管理。显然,这也给对此类风险提供独立担保带来了新的挑战。”
“审计如何支撑您的安全策略”这篇文章最初由方案 。