o que é uma auditoria de segurança?
uma auditoria de segurança é uma avaliação sistemática da segurança do sistema de informação de uma empresa, medindo o quão bem ele está em conformidade com um conjunto estabelecido de critérios. Uma auditoria completa normalmente avalia a segurança da configuração física e do ambiente do sistema, software, Processos de tratamento de informações e práticas do Usuário.Auditorias de segurança são frequentemente usadas para determinar a conformidade com regulamentos como O Health Insurance Portability and Accountability Act, o Sarbanes-Oxley Act e o California Security Breach Information Act que especificam como as organizações devem lidar com informações.Estas auditorias são um dos três principais tipos de diagnósticos de segurança, juntamente com avaliações de vulnerabilidade e testes de penetração. As auditorias de segurança medem o desempenho de um sistema de informação em relação a uma lista de critérios. Uma avaliação de vulnerabilidade é um estudo abrangente de um sistema de informação, buscando potenciais fraquezas de segurança. O teste de penetração é uma abordagem secreta na qual um especialista em segurança testa para ver se um sistema pode suportar um ataque específico. Cada abordagem tem pontos fortes inerentes e usar dois ou mais em conjunto pode ser a abordagem mais eficaz.As organizações devem construir um plano de auditoria de segurança que seja repetível e atualizável. As partes interessadas devem ser incluídas no processo para obter o melhor resultado.
por que fazer uma auditoria de segurança?
existem várias razões para fazer uma auditoria de segurança. Eles incluem esses seis objetivos:
- identifique problemas e lacunas de segurança, bem como fraquezas do sistema.
- estabeleça uma linha de base de segurança com a qual as auditorias futuras possam ser comparadas.
- cumprir as políticas internas de segurança da organização.
- cumprir os requisitos regulamentares externos.
- Determine se o treinamento de segurança é adequado.
- identificar recursos desnecessários.As auditorias de segurança ajudarão a proteger dados críticos, identificar brechas de segurança, criar novas políticas de segurança e rastrear a eficácia das estratégias de segurança. Auditorias regulares podem ajudar a garantir que os funcionários cumpram as práticas de segurança e possam detectar novas vulnerabilidades.
quando é necessária uma auditoria de segurança?
a frequência com que uma organização realiza suas auditorias de segurança depende do setor em que está, das demandas de seus negócios e estrutura corporativa e do número de sistemas e aplicativos que devem ser auditados. As organizações que lidam com muitos dados confidenciais-como serviços financeiros e provedores de heathcare-provavelmente farão auditorias com mais frequência. Aqueles que usam apenas um ou dois aplicativos acharão mais fácil realizar auditorias de segurança e podem fazê-las com mais frequência. Fatores externos, como requisitos regulatórios, também afetam a frequência de auditoria.
muitas empresas farão uma auditoria de segurança pelo menos uma ou duas vezes por ano. Mas eles também podem ser feitos mensalmente ou trimestralmente. Diferentes departamentos podem ter diferentes cronogramas de auditoria, dependendo dos sistemas, aplicativos e dados que usam. Auditorias de rotina-feitas anualmente ou mensalmente – podem ajudar a identificar anomalias ou padrões em um sistema.As auditorias trimestrais ou mensais podem ser mais do que a maioria das organizações tem tempo ou recursos para, no entanto. Os fatores determinantes na frequência com que uma organização escolhe fazer auditorias de segurança dependem da complexidade dos sistemas usados e do tipo e importância dos dados nesse sistema. Se os dados em um sistema forem considerados essenciais, esse sistema poderá ser auditado com mais frequência, mas sistemas complicados que levam tempo para auditoria podem ser auditados com menos frequência.Uma organização deve realizar uma auditoria de segurança especial após uma violação de dados, Atualização do sistema ou migração de dados, ou quando ocorrem alterações nas leis de Conformidade, quando um novo sistema foi implementado ou quando a empresa cresce em mais de uma quantidade definida de usuários. Essas auditorias únicas podem se concentrar em uma área específica onde o evento pode ter aberto vulnerabilidades de segurança. Por exemplo, se uma violação de dados acabou de ocorrer, uma auditoria dos sistemas afetados pode ajudar a determinar o que deu errado.
Tipos de auditorias de segurança
auditorias de Segurança vêm em duas formas, auditorias internas e externas, que envolvem os seguintes procedimentos:
- auditorias Internas. Nessas auditorias, uma empresa usa seus próprios recursos e departamento de auditoria interna. Auditorias internas são usadas quando uma organização deseja validar sistemas de negócios para conformidade com políticas e procedimentos.
- auditorias externas. Com essas auditorias, uma organização externa é trazida para realizar uma auditoria. Auditorias externas também são realizadas quando uma organização precisa confirmar que está em conformidade com os padrões da indústria ou regulamentos governamentais.
existem duas subcategorias de auditorias externas: auditorias de segunda e de terceiros. As auditorias de segunda parte são conduzidas por um fornecedor da organização que está sendo auditada. As auditorias de terceiros são feitas por um grupo independente e imparcial, e os auditores envolvidos não têm associação com a organização sob auditoria.
quais sistemas uma auditoria cobre?
durante uma auditoria de segurança, cada sistema que uma organização usa pode ser examinado quanto a vulnerabilidades nas seguintes áreas:
- vulnerabilidades de rede. Os auditores procuram fraquezas em qualquer componente de rede que um invasor possa explorar para acessar sistemas ou informações ou causar danos. A informação que viaja entre dois pontos é particularmente vulnerável. As auditorias de segurança e o monitoramento regular da rede acompanham o tráfego da rede, incluindo e-mails, mensagens instantâneas, arquivos e outras comunicações. A disponibilidade da rede e os pontos de acesso também estão incluídos nesta parte da auditoria.
- controles de segurança. Com essa parte da auditoria, o auditor analisa a eficácia dos controles de segurança de uma empresa. Isso inclui avaliar o quão bem uma organização implementou as políticas e procedimentos que estabeleceu para proteger suas informações e sistemas. Por exemplo, um auditor pode verificar se a empresa mantém controle administrativo sobre seus dispositivos móveis. O auditor testa os controles da empresa para garantir que eles sejam eficazes e que a empresa esteja seguindo suas próprias políticas e procedimentos.
- criptografia. Essa parte da auditoria verifica se uma organização possui controles para gerenciar processos de criptografia de dados.
- sistemas de Software. Aqui, os sistemas de software são examinados para garantir que estejam funcionando corretamente e fornecendo informações precisas. Eles também são verificados para garantir que os controles estejam em vigor para evitar que usuários não autorizados obtenham acesso a dados privados. As áreas examinadas incluem processamento de dados, desenvolvimento de software e sistemas de computador.
- recursos de gerenciamento de arquitetura. Os auditores verificam que o gerenciamento de TI possui estruturas e procedimentos organizacionais para criar um ambiente eficiente e controlado para processar informações.
- controles de telecomunicações. Os auditores verificam se os controles de telecomunicações estão trabalhando nos lados do cliente e do servidor, bem como na rede que os conecta.
- auditoria de desenvolvimento de Sistemas. As auditorias que abrangem essa área verificam se os sistemas em desenvolvimento atendem aos objetivos de segurança estabelecidos pela organização. Esta parte da auditoria também é feita para garantir que os sistemas em desenvolvimento estejam seguindo padrões estabelecidos.
- processamento de informações. Essas auditorias verificam se as medidas de segurança de processamento de dados estão em vigor.
as organizações também podem combinar tipos de auditoria específicos em uma Auditoria Geral de revisão de controle.
Etapas envolvidas em uma auditoria de segurança
Estes cinco passos são geralmente parte de uma auditoria de segurança:
- Concordo em objetivos. Inclua todas as partes interessadas nas discussões sobre o que deve ser alcançado com a auditoria.
- definir o âmbito da auditoria. Liste todos os ativos a serem auditados, incluindo equipamentos de informática, documentação interna e dados processados.
- realizar a auditoria e identificar ameaças. Listar ameaças potenciais relacionadas a cada ameaça pode incluir a perda de dados, equipamentos ou registros por meio de desastres naturais, malware ou usuários não autorizados.
- avalie a segurança e os riscos. Avalie o risco de cada uma das ameaças identificadas acontecendo e quão bem a organização pode se defender delas.
- Determine os controles necessários. Identifique quais medidas de segurança devem ser implementadas ou melhoradas para minimizar os riscos.
Saiba mais sobre outros tipos de auditorias
Melhores práticas para backup de preparação da auditoria
plano de continuidade de Negócios de auditoria
de Prep de uma auditoria de conformidade lista de verificação que os auditores querem ver
Como conduzir uma IoT auditoria de conformidade
Teste vs. avaliação vs. auditoria
Auditorias são um conceito distinto de outras práticas, tais como testes e avaliações. Uma auditoria é uma maneira de validar que uma organização está aderindo aos procedimentos e políticas de segurança estabelecidos internamente, bem como aqueles que os grupos de padrões e Agências Reguladoras estabelecem. As organizações podem realizar auditorias ou trazer terceiros para realizá-las. As melhores práticas de auditoria de segurança estão disponíveis em várias organizações do setor.
um teste, como um teste de penetração, é um procedimento para verificar se um sistema específico está funcionando como deveria. Os profissionais de TI que fazem os testes estão procurando lacunas que possam abrir vulnerabilidades. Com um teste de caneta, por exemplo, o analista de segurança está invadindo o sistema da mesma forma que um ator de ameaça pode, para determinar o que um invasor pode ver e acessar.
uma avaliação é um teste planejado, como uma avaliação de risco ou vulnerabilidade. Ele analisa como um sistema deve operar e, em seguida, compara isso com o estado operacional atual do sistema. Por exemplo, uma avaliação de vulnerabilidade de um sistema de computador verifica o status das medidas de segurança que protegem esse sistema e se eles estão respondendo da maneira que deveriam.As auditorias de segurança fazem parte de uma estratégia geral para proteger sistemas e dados de TI. Descubra as últimas ideias sobre as melhores práticas e procedimentos de segurança cibernética.