ce este un audit de securitate?
un audit de securitate este o evaluare sistematică a securității sistemului informatic al unei companii prin măsurarea cât de bine se conformează unui set stabilit de criterii. Un audit amănunțit evaluează de obicei securitatea configurației fizice a sistemului și a mediului, a software-ului, a proceselor de manipulare a informațiilor și a practicilor utilizatorilor.
auditurile de securitate sunt adesea folosite pentru a determina conformitatea cu reglementări precum Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate, Legea Sarbanes-Oxley și Legea privind încălcarea securității din California, care specifică modul în care organizațiile trebuie să se ocupe de informații.
aceste audituri sunt unul dintre cele trei tipuri principale de diagnosticare a securității, împreună cu evaluarea vulnerabilității și testarea penetrării. Auditurile de securitate măsoară performanța unui sistem informatic în raport cu o listă de criterii. O evaluare a vulnerabilității este un studiu cuprinzător al unui sistem informatic, care caută potențiale puncte slabe de securitate. Testarea penetrării este o abordare ascunsă în care un expert în securitate testează pentru a vedea dacă un sistem poate rezista unui atac specific. Fiecare abordare are puncte forte inerente și utilizarea a două sau mai multe împreună poate fi cea mai eficientă abordare.
organizațiile ar trebui să construiască un plan de audit de securitate care să poată fi repetat și actualizat. Părțile interesate trebuie să fie incluse în proces pentru cel mai bun rezultat.
de ce face un audit de securitate?
există mai multe motive pentru a face un audit de securitate. Acestea includ aceste șase obiective:
- identificați problemele și lacunele de securitate, precum și punctele slabe ale sistemului.
- stabiliți o bază de securitate cu care pot fi comparate auditurile viitoare.
- respectați politicile de securitate ale organizației interne.
- respectă cerințele de reglementare externe.
- determinați dacă instruirea în domeniul securității este adecvată.
- identificarea resurselor inutile.
auditurile de securitate vor ajuta la protejarea datelor critice, la identificarea lacunelor de securitate, la crearea de noi politici de securitate și la urmărirea eficacității strategiilor de securitate. Auditurile periodice pot ajuta angajații să respecte practicile de securitate și pot prinde noi vulnerabilități.
când este necesar un audit de securitate?
cât de des o organizație își efectuează auditurile de securitate depinde de industria în care se află, de cerințele structurii sale de afaceri și corporative și de numărul de sisteme și aplicații care trebuie auditate. Organizațiile care gestionează o mulțime de date sensibile-cum ar fi serviciile financiare și furnizorii heathcare-sunt susceptibile de a face audituri mai frecvent. Cei care folosesc doar una sau două aplicații vor găsi mai ușor să efectueze audituri de securitate și le pot face mai frecvent. Factorii externi, cum ar fi cerințele de reglementare, afectează și frecvența auditului.
multe companii vor efectua un audit de securitate cel puțin o dată sau de două ori pe an. Dar ele se pot face și lunar sau trimestrial. Diferite departamente pot avea programe de audit diferite, în funcție de sistemele, aplicațiile și datele pe care le utilizează. Auditurile de rutină-indiferent dacă sunt efectuate anual sau lunar-pot ajuta la identificarea anomaliilor sau modelelor dintr-un sistem.
auditurile trimestriale sau lunare pot fi mai mult decât cele mai multe organizații au timp sau resurse pentru, cu toate acestea. Factorii determinanți în cât de des o organizație alege să facă audituri de securitate depinde de complexitatea sistemelor utilizate și de tipul și importanța datelor din acel sistem. Dacă datele dintr-un sistem sunt considerate esențiale, atunci acel sistem poate fi auditat mai des, dar sistemele complicate care necesită timp pentru audit pot fi auditate mai rar.
o organizație ar trebui să efectueze un audit special de securitate după o încălcare a datelor, actualizarea sistemului sau migrarea datelor sau când apar modificări ale legilor de conformitate, când un nou sistem a fost implementat sau când afacerea crește cu mai mult de un număr definit de utilizatori. Aceste audituri unice se pot concentra pe o anumită zonă în care evenimentul ar fi putut deschide vulnerabilități de securitate. De exemplu, dacă tocmai a avut loc o încălcare a datelor, un audit al sistemelor afectate poate ajuta la determinarea a ceea ce a mers prost.
tipuri de audituri de securitate
auditurile de securitate vin în două forme, audituri interne și externe, care implică următoarele proceduri:
- audituri interne. În aceste audituri, o afacere utilizează resursele proprii și Departamentul de audit intern. Auditurile interne sunt utilizate atunci când o organizație dorește să valideze sistemele de afaceri pentru respectarea politicilor și procedurilor.
- audituri externe. Cu aceste audituri, o organizație externă este adusă pentru a efectua un audit. Auditurile externe sunt, de asemenea, efectuate atunci când o organizație trebuie să confirme că se conformează standardelor din industrie sau reglementărilor guvernamentale.
există două subcategorii de audituri externe: audituri secundare și terțe. Auditurile secundare sunt efectuate de un furnizor al organizației auditate. Auditurile terților sunt efectuate de un grup independent, imparțial, iar auditorii implicați nu au nicio asociere cu organizația auditată.
ce sisteme acoperă un audit?
în timpul unui audit de securitate, fiecare sistem pe care îl folosește o organizație poate fi examinat pentru vulnerabilități în următoarele domenii:
- vulnerabilități de rețea. Auditorii caută puncte slabe în orice componentă de rețea pe care un atacator ar putea să o exploateze pentru a accesa sisteme sau informații sau pentru a provoca daune. Informațiile pe măsură ce se deplasează între două puncte sunt deosebit de vulnerabile. Auditurile de securitate și monitorizarea regulată a rețelei țin evidența traficului de rețea, inclusiv e-mailuri, mesaje instantanee, fișiere și alte comunicări. Disponibilitatea rețelei și punctele de acces sunt, de asemenea, incluse în această parte a auditului.
- controale de securitate. Cu această parte a auditului, auditorul analizează cât de eficiente sunt controalele de securitate ale unei companii. Aceasta include evaluarea cât de bine a implementat o organizație politicile și procedurile pe care le-a stabilit pentru a-și proteja informațiile și sistemele. De exemplu, un auditor poate verifica dacă compania păstrează controlul administrativ asupra dispozitivelor sale mobile. Auditorul testează controalele companiei pentru a se asigura că acestea sunt eficiente și că compania își urmează propriile politici și proceduri.
- criptare. Această parte a auditului verifică dacă o organizație are controale pentru a gestiona procesele de criptare a datelor.
- sisteme Software. Aici, sistemele software sunt examinate pentru a se asigura că funcționează corect și oferă informații exacte. De asemenea, sunt verificate pentru a se asigura că există controale pentru a împiedica utilizatorii neautorizați să obțină acces la date private. Domeniile examinate includ prelucrarea datelor, dezvoltarea de software și sistemele informatice.
- capabilități de gestionare a arhitecturii. Auditorii verifică dacă managementul IT are structuri și proceduri organizaționale pentru a crea un mediu eficient și controlat pentru procesarea informațiilor.
- controale de telecomunicații. Auditorii verifică dacă controalele de telecomunicații funcționează atât pe partea clientului, cât și pe server, precum și pe rețeaua care le conectează.
- auditul dezvoltării sistemelor. Auditurile care acoperă acest domeniu verifică dacă orice sistem în curs de dezvoltare îndeplinește obiectivele de securitate stabilite de organizație. Această parte a auditului se face, de asemenea, pentru a se asigura că sistemele în curs de dezvoltare respectă standardele stabilite.
- prelucrarea informațiilor. Aceste audituri verifică dacă există măsuri de securitate pentru prelucrarea datelor.
organizațiile pot combina, de asemenea, tipuri specifice de audit într-un audit global de revizuire a controlului.
pași implicați într-un audit de securitate
acești cinci pași fac, în general, parte dintr-un audit de securitate:
- sunt de acord asupra obiectivelor. Includeți toate părțile interesate în discuțiile despre ceea ce ar trebui realizat cu auditul.
- definiți domeniul de aplicare al auditului. Enumerați toate activele care urmează să fie auditate, inclusiv echipamentele informatice, documentația internă și datele prelucrate.
- efectuați auditul și identificați amenințările. Lista potențialelor amenințări legate de fiecare amenințare poate include pierderea de date, echipamente sau înregistrări prin dezastre naturale, malware sau utilizatori neautorizați.
- evaluează securitatea și riscurile. Evaluați riscul ca fiecare dintre amenințările identificate să se întâmple și cât de bine se poate apăra organizația împotriva lor.
- determinați controalele necesare. Identificați ce măsuri de securitate trebuie implementate sau îmbunătățite pentru a minimiza riscurile.
Aflați mai multe despre alte tipuri de audituri
cele mai bune practici pentru pregătirea auditului de rezervă
auditul planului de continuitate a activității
pregătiți o listă de verificare a auditului de conformitate pe care auditorii doresc să o vadă
cum să efectuați un audit IoT pentru
Test vs. evaluare vs. audit
auditurile sunt un concept separat de alte practici, cum ar fi testele și evaluările. Un audit este o modalitate de a valida faptul că o organizație aderă la procedurile și politicile de securitate stabilite intern, precum și la cele stabilite de grupurile de standarde și agențiile de reglementare. Organizațiile pot efectua ele însele audituri sau pot aduce terțe părți pentru a le face. Cele mai bune practici de audit de securitate sunt disponibile de la diverse organizații din industrie.
un test, cum ar fi un test de penetrare, este o procedură pentru a verifica dacă un anumit sistem funcționează așa cum ar trebui. Profesioniștii IT care fac testarea caută lacune care ar putea deschide vulnerabilități. Cu un test de stilou, de exemplu, analistul de securitate intră în sistem în același mod în care un actor de amenințare ar putea, pentru a determina ce poate vedea și accesa un atacator.
o evaluare este un test planificat, cum ar fi o evaluare a riscului sau vulnerabilității. Se uită la modul în care un sistem ar trebui să funcționeze și apoi se compară cu starea operațională actuală a sistemului. De exemplu, o evaluare a vulnerabilității unui sistem informatic verifică starea măsurilor de securitate care protejează sistemul respectiv și dacă acestea răspund așa cum ar trebui.
auditurile de securitate fac parte dintr-o strategie globală pentru protejarea sistemelor informatice și a datelor. Aflați cele mai recente gândire cu privire la cele mai bune practici și proceduri de securitate cibernetică.