Hvad er en sikkerhedsrevision?

en sikkerhedsrevision er en systematisk evaluering af sikkerheden i et virksomheds informationssystem ved at måle, hvor godt det er i overensstemmelse med et fastlagt sæt kriterier. En grundig revision vurderer typisk sikkerheden i systemets fysiske konfiguration og miljø, programmel, informationshåndteringsprocesser og brugerpraksis.

sikkerhedsrevisioner bruges ofte til at bestemme overholdelse af regler som f.eks Health Insurance Portability and Accountability Act, det Sarbanes-Oksley Act og California Security Breach Information Act, der specificerer, hvordan organisationer skal håndtere information.

disse revisioner er en af tre hovedtyper af sikkerhedsdiagnostik sammen med sårbarhedsvurderinger og penetrationstest. Sikkerhedsrevisioner måler et informationssystems ydeevne i forhold til en liste over kriterier. En sårbarhedsvurdering er en omfattende undersøgelse af et informationssystem, der søger potentielle sikkerhedssvagheder. Penetrationstest er en skjult tilgang, hvor en sikkerhedsekspert tester for at se, om et system kan modstå et specifikt angreb. Hver tilgang har iboende styrker, og at bruge to eller flere sammen kan være den mest effektive tilgang.

organisationer bør konstruere en sikkerhedsrevisionsplan, der kan gentages og opdateres. Interessenter skal inddrages i processen for at opnå det bedste resultat.

hvorfor foretage en sikkerhedsrevision?

der er flere grunde til at foretage en sikkerhedsrevision. De omfatter disse seks mål:

1. Identificer sikkerhedsproblemer og huller samt systemsvagheder.
2. Opret en sikkerhedsbasis, som fremtidige revisioner kan sammenlignes med.
3. Overhold interne organisation sikkerhedspolitikker.
4. overholde eksterne lovkrav.
5. Find ud af, om sikkerhedstræning er tilstrækkelig.
6. Identificer unødvendige ressourcer.

sikkerhedsrevisioner hjælper med at beskytte kritiske data, identificere sikkerhedshuller, oprette nye sikkerhedspolitikker og spore effektiviteten af sikkerhedsstrategier. Regelmæssige revisioner kan hjælpe med at sikre, at medarbejderne holder sig til sikkerhedspraksis og kan fange nye sårbarheder.

hvornår er en sikkerhedsrevision nødvendig?

hvor ofte en organisation udfører sine sikkerhedsrevisioner afhænger af den branche, den er i, kravene til dens forretnings-og virksomhedsstruktur og antallet af systemer og applikationer, der skal revideres. Organisationer, der håndterer en masse følsomme data-såsom finansielle tjenester og heathcare-udbydere-vil sandsynligvis foretage revisioner oftere. Dem, der kun bruger en eller to applikationer, vil finde det lettere at gennemføre sikkerhedsrevisioner og kan gøre dem oftere. Eksterne faktorer, såsom lovkrav, påvirker også revisionsfrekvensen.

mange virksomheder foretager en sikkerhedsrevision mindst en eller to gange om året. Men de kan også gøres månedligt eller kvartalsvis. Forskellige afdelinger kan have forskellige revisionsplaner afhængigt af de systemer, applikationer og data, de bruger. Rutinemæssige revisioner – uanset om de udføres årligt eller månedligt-kan hjælpe med at identificere uregelmæssigheder eller mønstre i et system.

kvartalsvise eller månedlige revisioner kan dog være mere, end de fleste organisationer har tid eller ressourcer til. De afgørende faktorer for, hvor ofte en organisation vælger at udføre sikkerhedsrevisioner, afhænger af kompleksiteten af de anvendte systemer og typen og vigtigheden af dataene i dette system. Hvis dataene i et system anses for væsentlige, kan dette system revideres oftere, men komplicerede systemer, der tager tid at revidere, kan revideres sjældnere.

en organisation bør foretage en særlig sikkerhedsrevision efter et databrud, systemopgradering eller Datamigrering, eller når der sker ændringer i overholdelseslovgivningen, når et nyt system er implementeret, eller når virksomheden vokser med mere end et defineret antal brugere. Disse engangsrevisioner kan fokusere på et specifikt område, hvor begivenheden kan have åbnet sikkerhedssårbarheder. For eksempel, hvis der netop opstod et databrud, kan en revision af de berørte systemer hjælpe med at bestemme, hvad der gik galt.

typer af sikkerhedsrevisioner

sikkerhedsrevisioner findes i to former, interne og eksterne revisioner, der involverer følgende procedurer:

• interne revisioner. I disse revisioner bruger en virksomhed sine egne ressourcer og interne revisionsafdeling. Interne revisioner bruges, når en organisation ønsker at validere forretningssystemer til overholdelse af politikker og procedurer.
• eksterne revisioner. Med disse revisioner bringes en ekstern organisation ind for at gennemføre en revision. Eksterne revisioner udføres også, når en organisation skal bekræfte, at den er i overensstemmelse med industristandarder eller statslige regler.

der er to underkategorier af eksterne revisioner: anden – og tredjepartsrevisioner. Anden parts revisioner udføres af en leverandør af den organisation, der revideres. Tredjepartsrevisioner udføres af en uafhængig, upartisk gruppe, og de involverede revisorer har ingen tilknytning til den organisation, der er under revision.

hvilke systemer dækker en revision?

under en sikkerhedsrevision kan hvert system, en organisation bruger, undersøges for sårbarheder på følgende områder:

• netværk sårbarheder. Revisorer ser efter svagheder i enhver netværkskomponent, som en angriber kan udnytte for at få adgang til systemer eller information eller forårsage skade. Information, når den bevæger sig mellem to punkter, er særlig sårbar. Sikkerhedsrevisioner og regelmæssig netværksovervågning holder styr på netværkstrafik, herunder e-mails, onlinemeddelelser, filer og anden kommunikation. Netværkstilgængelighed og adgangspunkter er også inkluderet i denne del af revisionen.
• sikkerhedskontrol. Med denne del af revisionen ser revisor på, hvor effektiv en virksomheds sikkerhedskontrol er. Det omfatter evaluering af, hvor godt en organisation har implementeret de politikker og procedurer, den har etableret for at beskytte sine oplysninger og systemer. For eksempel kan en revisor kontrollere, om virksomheden bevarer administrativ kontrol over sine mobile enheder. Revisor tester virksomhedens kontroller for at sikre, at de er effektive, og at virksomheden følger sine egne politikker og procedurer.
• kryptering. Denne del af revisionen bekræfter, at en organisation har kontrolelementer til at administrere datakrypteringsprocesser.
• Programmelsystemer. Her undersøges programmelsystemer for at sikre, at de fungerer korrekt og giver nøjagtige oplysninger. De kontrolleres også for at sikre, at kontroller er på plads for at forhindre uautoriserede brugere i at få adgang til private data. De undersøgte områder omfatter databehandling, udvikling af programmer og edb-systemer.
• arkitektur ledelsesfunktioner. Revisorer kontrollerer, at it-ledelsen har organisatoriske strukturer og procedurer på plads for at skabe et effektivt og kontrolleret miljø til behandling af information.
• telekommunikation kontrol. Revisorer kontrollerer, at telekommunikationskontrol fungerer på både klient-og serversider såvel som på det netværk, der forbinder dem.
• systemudvikling revision. Revisioner, der dækker dette område, bekræfter, at systemer under udvikling opfylder sikkerhedsmål, der er fastsat af organisationen. Denne del af revisionen udføres også for at sikre, at systemer under udvikling følger faste standarder.
• informationsbehandling. Disse revisioner bekræfter, at databehandlingssikkerhedsforanstaltninger er på plads.

organisationer kan også kombinere specifikke revisionstyper i en samlet kontrolanmeldelsesrevision.

trin involveret i en sikkerhedsrevision

disse fem trin er generelt en del af en sikkerhedsrevision:

1. enig om mål. Inddrag alle interessenter i drøftelserne om, hvad der skal opnås med revisionen.
2. Definer omfanget af revisionen. Liste over alle aktiver, der skal revideres, herunder computerudstyr, intern dokumentation og behandlede data.
3. Udfør revisionen og identificer trusler. Liste over potentielle trusler relateret til hver trusler kan omfatte tab af data, udstyr eller poster gennem naturkatastrofer, ondsindede programmer eller uautoriserede brugere.
4. vurdere sikkerhed og risici. Vurder risikoen for, at hver af de identificerede trusler sker, og hvor godt organisationen kan forsvare sig mod dem.
5. bestem de nødvendige kontroller. Identificer, hvilke sikkerhedsforanstaltninger der skal implementeres eller forbedres for at minimere risici.

Test vs. vurdering vs. revision

revisioner er et separat koncept fra anden praksis såsom test og vurderinger. En revision er en måde at validere, at en organisation overholder procedurer og sikkerhedspolitikker, der er fastlagt internt, såvel som dem, som standardgrupper og reguleringsorganer indstiller. Organisationer kan selv foretage revisioner eller indbringe tredjeparter til at udføre dem. Bedste praksis for sikkerhedsrevision er tilgængelig fra forskellige brancheorganisationer.

en test, såsom en penetrationstest, er en procedure til at kontrollere, at et specifikt system fungerer som det skal. IT-fagfolk, der udfører testen, leder efter huller, der kan åbne sårbarheder. Med en pen-test, for eksempel, sikkerhedsanalytikeren hacker ind i systemet på samme måde som en trusselaktør kan, for at bestemme, hvad en angriber kan se og få adgang til.

en vurdering er en planlagt test såsom en risiko-eller sårbarhedsvurdering. Det ser på, hvordan et system skal fungere, og sammenligner det derefter med systemets nuværende operationelle tilstand. For eksempel kontrollerer en sårbarhedsvurdering af et computersystem status for de sikkerhedsforanstaltninger, der beskytter dette system, og om de reagerer som de skal.

sikkerhedsrevisioner er en del af en overordnet strategi for beskyttelse af IT-systemer og data. Find ud af den nyeste tænkning om bedste praksis og procedurer for cybersikkerhed.