Hva er en sikkerhetsrevisjon?
en sikkerhetsrevisjon er en systematisk evaluering av sikkerheten i et selskaps informasjonssystem ved å måle hvor godt det er i samsvar med et etablert sett av kriterier. En grundig revisjon vurderer vanligvis sikkerheten til systemets fysiske konfigurasjon og miljø, programvare, informasjonshåndteringsprosesser og brukerpraksis.
sikkerhetsrevisjoner brukes ofte til å fastslå overholdelse av forskrifter som Health Insurance Portability And Accountability Act, Sarbanes-Oxley Act og California Security Breach Information Act som angir hvordan organisasjoner må håndtere informasjon.
disse revisjonene er en av tre hovedtyper av sikkerhetsdiagnostikk, sammen med sårbarhetsvurderinger og penetrasjonstesting. Sikkerhetsrevisjoner måler et informasjonssystems ytelse mot en liste over kriterier. En sårbarhetsvurdering er en omfattende studie av et informasjonssystem som søker potensielle sikkerhetssvakheter. Penetrasjonstesting er en skjult tilnærming der en sikkerhetsekspert tester for å se om et system tåler et bestemt angrep. Hver tilnærming har iboende styrker og bruke to eller flere i forbindelse kan være den mest effektive tilnærmingen.
Organisasjoner bør lage en sikkerhetsrevisjonsplan som kan gjentas og oppdateres. Interessenter må inkluderes i prosessen for det beste resultatet.
Hvorfor foreta en sikkerhetsrevisjon?
det er flere grunner til å utføre en sikkerhetsrevisjon. De inkluderer disse seks målene:
- Identifisere sikkerhetsproblemer og hull, samt system svakheter.
- Opprett en sikkerhetsplan som fremtidige revisjoner kan sammenlignes med.
- Overholde interne sikkerhetspolicyer for organisasjonen.
- Overholde eksterne regulatoriske krav.
- Bestem om sikkerhetsopplæring er tilstrekkelig.
- Identifiser unødvendige ressurser.
sikkerhetsrevisjoner vil bidra til å beskytte kritiske data, identifisere sikkerhetshull, opprette nye sikkerhetspolicyer og spore effektiviteten av sikkerhetsstrategier. Regelmessige revisjoner kan bidra til å sikre at ansatte holder seg til sikkerhetspraksis og kan fange nye sårbarheter.
når er det nødvendig med en sikkerhetsrevisjon?
Hvor ofte en organisasjon gjør sine sikkerhetsrevisjoner, avhenger av bransjen den er i, kravene til virksomheten og bedriftsstrukturen, og antall systemer og applikasjoner som må revideres. Organisasjoner som håndterer mange sensitive data-for eksempel finansielle tjenester og heathcare-leverandører-vil sannsynligvis gjøre revisjoner oftere. De som bruker bare ett eller to programmer vil finne det lettere å gjennomføre sikkerhetsrevisjoner og kan gjøre dem oftere. Eksterne faktorer, som regulatoriske krav, påvirker også revisjonsfrekvensen.
Mange bedrifter vil gjøre en sikkerhetsrevisjon minst en eller to ganger i året. Men de kan også gjøres månedlig eller kvartalsvis. Ulike avdelinger kan ha forskjellige revisjonsplaner, avhengig av systemene, programmene og dataene de bruker. Rutinemessige revisjoner-enten gjort årlig eller månedlig – kan bidra til å identifisere anomalier eller mønstre i et system.
Kvartalsvise eller månedlige revisjoner kan være mer enn de fleste organisasjoner har tid eller ressurser til. De avgjørende faktorene i hvor ofte en organisasjon velger å gjøre sikkerhetsrevisjoner, avhenger av kompleksiteten til systemene som brukes og typen og betydningen av dataene i det systemet. Hvis dataene i et system anses som essensielle, kan det systemet revideres oftere, men kompliserte systemer som tar tid å revidere, kan revideres sjeldnere.
en organisasjon bør gjennomføre en spesiell sikkerhetsrevisjon etter et datainnbrudd, systemoppgradering eller dataoverføring, eller når endringer i lover om samsvar oppstår, når et nytt system er implementert eller når virksomheten vokser med mer enn et definert antall brukere. Disse engangskontrollene kan fokusere på et bestemt område der hendelsen kan ha åpnet sikkerhetsproblemer. For eksempel, hvis et datainnbrudd nettopp oppstod, kan en revisjon av de berørte systemene bidra til å avgjøre hva som gikk galt.
Typer sikkerhetsrevisjoner
sikkerhetsrevisjoner kommer i to former, interne og eksterne revisjoner, som involverer følgende prosedyrer:
- Interne revisjoner. I disse revisjonene bruker en bedrift egne ressurser og internrevisjonsavdeling. Interne revisjoner brukes når en organisasjon ønsker å validere forretningssystemer for policy og prosedyre samsvar.
- Eksterne revisjoner. Med disse revisjonene blir en ekstern organisasjon hentet inn for å gjennomføre en revisjon. Eksterne revisjoner utføres også når en organisasjon må bekrefte at den er i samsvar med industristandarder eller offentlige forskrifter.
det er to underkategorier av eksterne revisjoner: andre-og tredjeparts revisjoner. Andre parts revisjoner utføres av en leverandør av organisasjonen som blir revidert. Tredjepartsrevisjoner utføres av en uavhengig, upartisk gruppe, og de involverte revisorene har ingen tilknytning til organisasjonen under revisjon.
hvilke systemer dekker en revisjon?
under en sikkerhetsrevisjon kan hvert system en organisasjon bruker, undersøkes for sårbarheter i følgende områder:
- sårbarheter I Nettverket. Revisorer ser etter svakheter i alle nettverkskomponenter som en angriper kan utnytte for å få tilgang til systemer eller informasjon eller forårsake skade. Informasjon som den reiser mellom to punkter er spesielt sårbar. Sikkerhetsrevisjoner og regelmessig nettverksovervåking holder oversikt over nettverkstrafikk, inkludert e-post, direktemeldinger, filer og annen kommunikasjon. Nettverkstilgjengelighet og tilgangspunkter er også inkludert i denne delen av tilsynet.
- Sikkerhetskontroller. Med denne delen av revisjonen ser revisor på hvor effektive selskapets sikkerhetskontroller er. Det inkluderer å vurdere hvor godt en organisasjon har implementert retningslinjene og prosedyrene den har etablert for å beskytte sin informasjon og systemer. For eksempel kan en revisor sjekke for å se om selskapet beholder administrativ kontroll over sine mobile enheter. Revisor tester selskapets kontroller for å sikre at de er effektive og at selskapet følger sine egne retningslinjer og prosedyrer.
- Kryptering. Denne delen av revisjonen bekrefter at en organisasjon har kontroller på plass for å administrere datakrypteringsprosesser.
- Programvaresystemer. Her undersøkes programvaresystemer for å sikre at de fungerer som de skal og gir nøyaktig informasjon. De kontrolleres også for å sikre at kontroller er på plass for å hindre uautoriserte brukere i å få tilgang til private data. Områdene som undersøkes inkluderer databehandling, programvareutvikling og datasystemer.
- Arkitektur ledelse evner. Revisorer kontrollerer AT IT-ledelsen har organisatoriske strukturer og prosedyrer på plass for å skape et effektivt og kontrollert miljø for å behandle informasjon.
- Telekommunikasjonskontroller. Revisorer kontrollerer at telekommunikasjonskontrollene fungerer på både klient-og serversiden, samt på nettverket som forbinder dem.
- Revisjon Av Systemutvikling. Revisjoner som dekker dette området, bekrefter at alle systemer under utvikling oppfyller sikkerhetsmålene som er satt av organisasjonen. Denne delen av tilsynet er også gjort for å sikre at systemer under utvikling følger fastsatte standarder.
- informasjonsbehandling. Disse revisjonene bekrefter at sikkerhetstiltak for databehandling er på plass.
Organisasjoner kan også kombinere bestemte revisjonstyper i en samlet kontrollgjennomgang revisjon.
Trinn involvert i en sikkerhetsrevisjon
disse fem trinnene er vanligvis en del av en sikkerhetsrevisjon:
- Enig om mål. Inkluder alle interessenter i diskusjoner om hva som skal oppnås med revisjonen.
- Definer omfanget av revisjonen. Liste over alle eiendeler som skal revideres, inkludert datautstyr, intern dokumentasjon og behandlede data.
- Utfør revisjonen og identifiser trusler. Liste potensielle trusler knyttet til Hver Trusler kan omfatte tap av data, utstyr eller poster gjennom naturkatastrofer, malware eller uautoriserte brukere.
- Evaluer sikkerhet og risiko. Vurdere risikoen for hver av de identifiserte truslene som skjer, og hvor godt organisasjonen kan forsvare seg mot dem.
- Bestem de nødvendige kontrollene. Identifisere hvilke sikkerhetstiltak som må iverksettes eller forbedres for å minimere risiko.
Lær mer om andre typer revisjoner
Beste praksis for sikkerhetskopieringsrevisjonsforberedelse
revisjon av forretningskontinuitetsplan
Forbered en sjekkliste for samsvarsrevisjon som revisorer vil se
slik utfører du En Iot-revisjon for samsvar
Test vs. assessment vs. audit
Revisjoner er et eget konsept fra andre praksiser som tester og vurderinger. En revisjon er en måte å validere at en organisasjon overholder prosedyrer og sikkerhetspolicyer som er satt internt, samt de som standardgrupper og reguleringsorganer setter. Organisasjoner kan gjennomføre revisjoner selv eller få inn tredjeparter til å gjøre dem. Beste praksis for sikkerhetsrevisjon er tilgjengelig fra ulike bransjeorganisasjoner.
en test, for eksempel en penetrasjonstest, er en prosedyre for å kontrollere at et bestemt system fungerer som det skal. IT-fagfolk som gjør testingen, leter etter hull som kan åpne sårbarheter. Med en pen-test, for eksempel, hacker sikkerhetsanalytikeren seg inn i systemet på samme måte som en trusselaktør kan, for å avgjøre hva en angriper kan se og få tilgang til.
en vurdering er en planlagt test som en risiko-eller sårbarhetsvurdering. Det ser på hvordan et system skal fungere og sammenligner det med systemets nåværende driftstilstand. For eksempel kontrollerer en sårbarhetsvurdering av et datasystem statusen til sikkerhetstiltakene som beskytter systemet, og om de reagerer slik de skal.
sikkerhetsrevisjoner er en del av en overordnet strategi for å beskytte IT-systemer og data. Finn ut den nyeste tenkningen om beste praksis og prosedyrer for cybersikkerhet.