Che cos’è un controllo di sicurezza?
Un audit di sicurezza è una valutazione sistematica della sicurezza del sistema informativo di un’azienda misurando la sua conformità a una serie di criteri stabiliti. Un audit approfondito valuta in genere la sicurezza della configurazione fisica del sistema e dell’ambiente, del software, dei processi di gestione delle informazioni e delle pratiche degli utenti.
Gli audit di sicurezza sono spesso utilizzati per determinare la conformità a regolamenti come l’Health Insurance Portability and Accountability Act, il Sarbanes-Oxley Act e il California Security Breach Information Act che specificano come le organizzazioni devono gestire le informazioni.
Questi audit sono uno dei tre tipi principali di diagnostica di sicurezza, insieme a valutazioni di vulnerabilità e test di penetrazione. Gli audit di sicurezza misurano le prestazioni di un sistema informativo rispetto a un elenco di criteri. Una valutazione della vulnerabilità è uno studio completo di un sistema informativo, alla ricerca di potenziali debolezze di sicurezza. Il test di penetrazione è un approccio segreto in cui un esperto di sicurezza verifica se un sistema può resistere a un attacco specifico. Ogni approccio ha punti di forza intrinseci e l’utilizzo di due o più in combinazione può essere l’approccio più efficace.
Le organizzazioni devono creare un piano di controllo della sicurezza ripetibile e aggiornabile. Le parti interessate devono essere incluse nel processo per ottenere il miglior risultato.
Perché fare un controllo di sicurezza?
Ci sono diversi motivi per fare un controllo di sicurezza. Includono questi sei obiettivi:
- Identificare i problemi di sicurezza e le lacune, nonché le debolezze del sistema.
- Stabilire una linea di base di sicurezza che i futuri audit possono essere confrontati con.
- Rispettare le politiche di sicurezza interne dell’organizzazione.
- Rispettare i requisiti normativi esterni.
- Determinare se l’addestramento alla sicurezza è adeguato.
- Identificare le risorse non necessarie.
Gli audit di sicurezza aiuteranno a proteggere i dati critici, identificare le falle di sicurezza, creare nuove politiche di sicurezza e monitorare l’efficacia delle strategie di sicurezza. Audit regolari possono aiutare a garantire che i dipendenti si attengano alle pratiche di sicurezza e possano rilevare nuove vulnerabilità.
Quando è necessario un controllo di sicurezza?
La frequenza con cui un’organizzazione esegue i propri audit di sicurezza dipende dal settore in cui si trova, dalle esigenze della propria struttura aziendale e aziendale e dal numero di sistemi e applicazioni che devono essere controllati. Le organizzazioni che gestiscono molti dati sensibili – come i servizi finanziari e i fornitori di assistenza sanitaria-sono suscettibili di effettuare audit più frequentemente. Quelli che utilizzano solo una o due applicazioni troveranno più facile condurre audit di sicurezza e possono farlo più frequentemente. Anche fattori esterni, come i requisiti normativi, influenzano la frequenza degli audit.
Molte aziende effettueranno un audit di sicurezza almeno una o due volte all’anno. Ma possono anche essere fatti mensilmente o trimestralmente. Diversi reparti possono avere diverse pianificazioni di audit, a seconda dei sistemi, delle applicazioni e dei dati utilizzati. Gli audit di routine, effettuati annualmente o mensilmente, possono aiutare a identificare anomalie o schemi in un sistema.
Gli audit trimestrali o mensili possono essere più di quanto la maggior parte delle organizzazioni abbia il tempo o le risorse per, tuttavia. I fattori determinanti nella frequenza con cui un’organizzazione sceglie di eseguire audit di sicurezza dipendono dalla complessità dei sistemi utilizzati e dal tipo e dall’importanza dei dati in quel sistema. Se i dati in un sistema sono ritenuti essenziali, allora quel sistema può essere controllato più spesso, ma sistemi complicati che richiedono tempo per l’audit possono essere controllati meno frequentemente.
Un’organizzazione dovrebbe condurre un controllo di sicurezza speciale dopo una violazione dei dati, l’aggiornamento del sistema o la migrazione dei dati, o quando si verificano modifiche alle leggi di conformità, quando un nuovo sistema è stato implementato o quando l’azienda cresce di più di un numero definito di utenti. Questi audit una tantum possono concentrarsi su un’area specifica in cui l’evento potrebbe aver aperto vulnerabilità di sicurezza. Ad esempio, se si è verificata una violazione dei dati, un audit dei sistemi interessati può aiutare a determinare cosa è andato storto.
Tipi di audit di sicurezza
Gli audit di sicurezza sono disponibili in due forme, audit interni ed esterni, che comportano le seguenti procedure:
- Audit interni. In questi audit, un’azienda utilizza le proprie risorse e il proprio reparto di audit interno. Gli audit interni vengono utilizzati quando un’organizzazione desidera convalidare i sistemi aziendali per la conformità alle politiche e alle procedure.
- Audit esterni. Con questi audit, un’organizzazione esterna viene portata a condurre un audit. Gli audit esterni vengono condotti anche quando un’organizzazione deve confermare che è conforme agli standard del settore o alle normative governative.
Esistono due sottocategorie di audit esterni: audit di seconda e terza parte. Gli audit di seconda parte sono condotti da un fornitore dell’organizzazione sottoposta a revisione. Gli audit di terze parti sono effettuati da un gruppo indipendente e imparziale e gli auditor coinvolti non hanno alcuna associazione con l’organizzazione sottoposta a audit.
Quali sistemi copre un audit?
Durante un controllo di sicurezza, ogni sistema utilizzato da un’organizzazione può essere esaminato per individuare le vulnerabilità nelle seguenti aree:
- Vulnerabilità di rete. Gli auditor cercano punti deboli in qualsiasi componente di rete che un utente malintenzionato potrebbe sfruttare per accedere a sistemi o informazioni o causare danni. Le informazioni che viaggiano tra due punti sono particolarmente vulnerabili. Gli audit di sicurezza e il monitoraggio regolare della rete tengono traccia del traffico di rete, tra cui e-mail, messaggi istantanei, file e altre comunicazioni. Anche la disponibilità della rete e i punti di accesso sono inclusi in questa parte dell’audit.
- Controlli di sicurezza. Con questa parte dell’audit, il revisore esamina quanto siano efficaci i controlli di sicurezza di un’azienda. Ciò include la valutazione del modo in cui un’organizzazione ha implementato le politiche e le procedure stabilite per salvaguardare le proprie informazioni e sistemi. Ad esempio, un revisore può verificare se la società mantiene il controllo amministrativo sui propri dispositivi mobili. L’auditor verifica i controlli dell’azienda per assicurarsi che siano efficaci e che l’azienda stia seguendo le proprie politiche e procedure.
- Crittografia. Questa parte dell’audit verifica che un’organizzazione disponga di controlli per gestire i processi di crittografia dei dati.
- Sistemi software. Qui, i sistemi software vengono esaminati per garantire che funzionino correttamente e forniscano informazioni accurate. Vengono inoltre controllati per garantire che siano in atto controlli per impedire agli utenti non autorizzati di accedere ai dati privati. Le aree esaminate comprendono l’elaborazione dei dati, lo sviluppo di software e i sistemi informatici.
- Capacità di gestione dell’architettura. Gli auditor verificano che la gestione IT disponga di strutture organizzative e procedure per creare un ambiente efficiente e controllato per elaborare le informazioni.
- Controlli delle telecomunicazioni. Gli auditor controllano che i controlli delle telecomunicazioni funzionino sia sul lato client che su quello server, nonché sulla rete che li collega.
- Audit di sviluppo dei sistemi. Gli audit che coprono quest’area verificano che tutti i sistemi in fase di sviluppo soddisfino gli obiettivi di sicurezza stabiliti dall’organizzazione. Questa parte dell’audit viene svolta anche per garantire che i sistemi in fase di sviluppo rispettino gli standard stabiliti.
- Elaborazione delle informazioni. Questi audit verificano l’esistenza di misure di sicurezza per il trattamento dei dati.
Le organizzazioni possono anche combinare tipi di audit specifici in un unico controllo di revisione generale.
Passaggi coinvolti in un controllo di sicurezza
Questi cinque passaggi fanno generalmente parte di un controllo di sicurezza:
- D’accordo sugli obiettivi. Includere tutte le parti interessate nelle discussioni su ciò che dovrebbe essere raggiunto con l’audit.
- Definire l’ambito dell’audit. Elencare tutte le attività da sottoporre a revisione, comprese le apparecchiature informatiche, la documentazione interna e i dati elaborati.
- Condurre l’audit e identificare le minacce. Elenco potenziali minacce relative a ciascuna Minaccia può includere la perdita di dati, apparecchiature o record a causa di disastri naturali, malware o utenti non autorizzati.
- Valutare sicurezza e rischi. Valutare il rischio di ciascuna delle minacce identificate accadendo, e quanto bene l’organizzazione può difendersi contro di loro.
- Determina i controlli necessari. Identificare quali misure di sicurezza devono essere implementate o migliorate per ridurre al minimo i rischi.
Saperne di più su altri tipi di audit
procedure ottimali per il backup di audit preparazione
piano di continuità Aziendale audit
Preparazione di un audit di compliance lista di controllo che i sindaci vogliono vedere
Come realizzare degli Oggetti di controllo per la conformità
Test vs. valutazione del vs. audit
Audit sono un separato concetto da altre pratiche, quali i test e le valutazioni. Un audit è un modo per convalidare che un’organizzazione aderisce alle procedure e alle politiche di sicurezza impostate internamente, nonché a quelle impostate dai gruppi di standard e dalle agenzie di regolamentazione. Le organizzazioni possono condurre gli audit stessi o coinvolgere terze parti per eseguirli. Le best practice di controllo della sicurezza sono disponibili presso varie organizzazioni del settore.
Un test, ad esempio un test di penetrazione, è una procedura per verificare che un sistema specifico funzioni come dovrebbe. I professionisti IT che fanno i test sono alla ricerca di lacune che potrebbero aprire vulnerabilità. Con un test pen, ad esempio, l’analista della sicurezza sta hackerando il sistema nello stesso modo in cui un attore di minacce potrebbe, per determinare ciò che un utente malintenzionato può vedere e accedere.
Una valutazione è un test pianificato come una valutazione del rischio o della vulnerabilità. Esamina come dovrebbe funzionare un sistema e quindi lo confronta con lo stato operativo corrente del sistema. Ad esempio, una valutazione della vulnerabilità di un sistema informatico controlla lo stato delle misure di sicurezza che proteggono quel sistema e se stanno rispondendo nel modo in cui dovrebbero.
Gli audit di sicurezza fanno parte di una strategia globale per la protezione dei sistemi IT e dei dati. Scopri le ultime riflessioni sulle migliori pratiche e procedure di sicurezza informatica.