Vad är en säkerhetsrevision?
en säkerhetsrevision är en systematisk utvärdering av säkerheten i ett företags informationssystem genom att mäta hur väl det överensstämmer med en fastställd uppsättning kriterier. En grundlig granskning bedömer vanligtvis säkerheten för systemets fysiska konfiguration och miljö, programvara, informationshanteringsprocesser och användarpraxis.
säkerhetsrevisioner används ofta för att bestämma överensstämmelse med regler som Health Insurance Portability and Accountability Act, Sarbanes-Oxley Act och California Security Breach Information Act som anger hur organisationer måste hantera information.
dessa granskningar är en av tre huvudtyper av säkerhetsdiagnostik, tillsammans med sårbarhetsbedömningar och penetrationstester. Säkerhetsgranskningar mäter ett informationssystems prestanda mot en lista med kriterier. En sårbarhetsbedömning är en omfattande studie av ett informationssystem som söker potentiella säkerhetsbrister. Penetrationstestning är ett hemligt tillvägagångssätt där en säkerhetsexpert testar för att se om ett system tål en specifik attack. Varje tillvägagångssätt har inneboende styrkor och att använda två eller flera i samband kan vara det mest effektiva tillvägagångssättet.
organisationer bör konstruera en säkerhetsrevisionsplan som är repeterbar och uppdaterbar. Intressenter måste inkluderas i processen för bästa resultat.
Varför göra en säkerhetsrevision?
det finns flera skäl att göra en säkerhetsrevision. De inkluderar dessa sex mål:
- identifiera säkerhetsproblem och luckor samt systemsvagheter.
- upprätta en baslinje för säkerhet som framtida revisioner kan jämföras med.
- överensstämmer med interna organisationssäkerhetspolicyer.
- uppfyller externa myndighetskrav.
- Bestäm om säkerhetsutbildningen är tillräcklig.
- identifiera onödiga resurser.
säkerhetsrevisioner hjälper till att skydda kritiska data, identifiera säkerhetsluckor, skapa nya säkerhetspolicyer och spåra effektiviteten i säkerhetsstrategier. Regelbundna revisioner kan hjälpa anställda att hålla sig till säkerhetspraxis och kan fånga nya sårbarheter.
När behövs en säkerhetsrevision?
hur ofta en organisation gör sina säkerhetsrevisioner beror på branschen den befinner sig i, kraven på sin verksamhet och företagsstruktur och antalet system och applikationer som måste granskas. Organisationer som hanterar mycket känslig data – som finansiella tjänster och heathcare-leverantörer-kommer sannolikt att göra revisioner oftare. De som bara använder en eller två applikationer kommer att ha lättare att genomföra säkerhetsrevisioner och kan göra dem oftare. Externa faktorer, såsom lagstadgade krav, påverkar också revisionsfrekvensen.
många företag kommer att göra en säkerhetsrevision minst en eller två gånger om året. Men de kan också göras månadsvis eller kvartalsvis. Olika avdelningar kan ha olika revisionsscheman, beroende på system, applikationer och data de använder. Rutinrevisioner-oavsett om de görs årligen eller månadsvis-kan hjälpa till att identifiera avvikelser eller mönster i ett system.
kvartals-eller månadsrevisioner kan dock vara mer än de flesta organisationer har tid eller resurser för. De avgörande faktorerna för hur ofta en organisation väljer att göra säkerhetsrevisioner beror på komplexiteten hos de system som används och typen och betydelsen av data i det systemet. Om uppgifterna i ett system anses nödvändiga kan det systemet granskas oftare, men komplicerade system som tar tid att granska kan granskas mindre ofta.
en organisation bör genomföra en särskild säkerhetsgranskning efter ett dataintrång, systemuppgradering eller datamigrering, eller när ändringar i efterlevnadslagar inträffar, när ett nytt system har implementerats eller när verksamheten växer med mer än en definierad mängd användare. Dessa engångsrevisioner kan fokusera på ett specifikt område där händelsen kan ha öppnat säkerhetsproblem. Till exempel, om ett dataintrång just inträffat, kan en granskning av de drabbade systemen hjälpa till att avgöra vad som gick fel.
typer av säkerhetsrevisioner
säkerhetsrevisioner finns i två former, interna och externa revisioner, som involverar följande procedurer:
- interna revisioner. I dessa revisioner använder ett företag sina egna resurser och internrevisionsavdelning. Internrevisioner används när en organisation vill validera affärssystem för policy och procedure compliance.
- externa revisioner. Med dessa revisioner tas en extern organisation in för att genomföra en revision. Externa revisioner utförs också när en organisation behöver bekräfta att den överensstämmer med branschstandarder eller statliga föreskrifter.
det finns två underkategorier av externa revisioner: andra-och tredjepartsrevisioner. Andra parts revisioner utförs av en leverantör av organisationen som granskas. Tredjepartsrevisioner görs av en oberoende, opartisk grupp och de berörda revisorerna har ingen koppling till organisationen under revision.
vilka system täcker en revision?
under en säkerhetsgranskning kan varje system som en organisation använder undersökas för sårbarheter inom följande områden:
- nätverkssårbarheter. Revisorer letar efter svagheter i alla nätverkskomponenter som en angripare kan utnyttja för att komma åt system eller information eller orsaka skador. Information när den färdas mellan två punkter är särskilt sårbar. Säkerhetsgranskningar och regelbunden nätverksövervakning håller reda på nätverkstrafik, inklusive e-post, snabbmeddelanden, filer och annan kommunikation. Nätverkstillgänglighet och åtkomstpunkter ingår också i denna del av revisionen.
- säkerhetskontroller. Med denna del av revisionen tittar revisorn på hur effektiva ett företags säkerhetskontroller är. Det inkluderar att utvärdera hur väl en organisation har implementerat de policyer och förfaranden som den har upprättat för att skydda sin information och sina system. Till exempel kan en revisor kontrollera om företaget behåller administrativ kontroll över sina mobila enheter. Revisorn testar företagets kontroller för att se till att de är effektiva och att företaget följer sina egna policyer och rutiner.
- kryptering. Den här delen av granskningen verifierar att en organisation har kontroller för att hantera datakrypteringsprocesser.
- programvarusystem. Här undersöks mjukvarusystem för att säkerställa att de fungerar korrekt och ger korrekt information. De kontrolleras också för att säkerställa att kontroller finns på plats för att förhindra obehöriga användare från att få tillgång till privata data. De undersökta områdena inkluderar databehandling, mjukvaruutveckling och datorsystem.
- Arkitekturhanteringsfunktioner. Revisorer verifierar att IT-ledningen har organisatoriska strukturer och rutiner för att skapa en effektiv och kontrollerad miljö för att bearbeta information.
- telekommunikationskontroller. Revisorer kontrollerar att telekommunikationskontroller fungerar på både klient-och serversidor, liksom på nätverket som ansluter dem.
- systemutveckling revision. Revisioner som täcker detta område verifierar att alla system under utveckling uppfyller säkerhetsmålen som fastställts av organisationen. Denna del av revisionen görs också för att säkerställa att system under utveckling följer fastställda standarder.
- informationsbehandling. Dessa revisioner verifierar att säkerhetsåtgärder för databehandling är på plats.
organisationer kan också kombinera specifika revisionstyper i en övergripande kontrollgranskningsrevision.
steg involverade i en säkerhetsrevision
dessa fem steg är i allmänhet en del av en säkerhetsrevision:
- överens om mål. Inkludera alla intressenter i diskussioner om vad som ska uppnås med revisionen.
- definiera revisionens omfattning. Lista alla tillgångar som ska granskas, inklusive datorutrustning, intern dokumentation och bearbetade data.
- utför granskningen och identifiera hot. Lista potentiella hot relaterade till varje hot kan inkludera förlust av data, utrustning eller register genom naturkatastrofer, skadlig kod eller obehöriga användare.
- utvärdera säkerhet och risker. Bedöm risken för att vart och ett av de identifierade hoten inträffar och hur väl organisationen kan försvara sig mot dem.
- Bestäm de nödvändiga kontrollerna. Identifiera vilka säkerhetsåtgärder som måste genomföras eller förbättras för att minimera riskerna.
Läs mer om andra typer av revisioner
Best practices for backup audit preparation
business continuity plan audit
Prep a compliance audit checklist that auditors want to see
hur man utför en IoT-revision för efterlevnad
Test vs. bedömning vs. revision
revisioner är ett separat koncept från andra metoder som tester och bedömningar. En revision är ett sätt att validera att en organisation följer rutiner och säkerhetspolicyer som fastställs internt, liksom de som standardgrupper och tillsynsmyndigheter ställer in. Organisationer kan själva genomföra revisioner eller ta in tredje part för att göra dem. Säkerhetsrevision bästa praxis finns tillgängliga från olika branschorganisationer.
ett test, såsom ett penetrationstest, är ett förfarande för att kontrollera att ett specifikt system fungerar som det ska. IT-proffs som gör testningen letar efter luckor som kan öppna sårbarheter. Med ett penntest hackar till exempel säkerhetsanalytikern in i systemet på samma sätt som en hotskådespelare kan, för att avgöra vad en angripare kan se och komma åt.
en bedömning är ett planerat test som en risk-eller sårbarhetsbedömning. Det tittar på hur ett system ska fungera och jämför sedan det med systemets nuvarande operativa tillstånd. Till exempel kontrollerar en sårbarhetsbedömning av ett datorsystem statusen för de säkerhetsåtgärder som skyddar det systemet och om de svarar som de borde.
säkerhetsgranskningar är en del av en övergripande strategi för att skydda IT-system och data. Ta reda på det senaste tänkandet om bästa praxis och rutiner för cybersäkerhet.