什么是IT安全審核(基礎篇)
安全審核是組織可用來測試和評估其整體安全狀況(包括網絡安全)的多種方式的高級描述。您可能會使用多種類型的安全審核來實現所需的結果并實現您的業務目標。
為什么安全審核很重要
如果您只跟蹤一點網絡安全新聞,就應該對審計為何如此重要有一個直觀的了解。定期審核可能會發現新的漏洞和組織變革的意料之外的后果,最重要的是,法律對某些行業(尤其是醫療和金融行業)要求進行審核。
這是運行安全審核的一些更具體的好處:
- 驗證您當前的安全策略是否足夠
- 檢查您的安全培訓工作是否將針刺從一次審核轉移到了下一次審核
- 通過關閉或重新使用在審核期間發現的無關的硬件和軟件來降低成本
- 安全審核發現由新技術或新流程引入您的組織的漏洞
- 證明組織符合法規-HIPAA,SHIELD,CCPA,GDPR等
安全審核如何工作
Gartner編寫了一份綜合指南,以計劃和執行審核。在研究過程中,Gartner確定了一些關鍵發現,這些發現可以幫助組織更好地計劃和利用審計。
他們發現公司將審計重點放在合規性活動上,而不是評估對組織的風險。符合性表單上的復選框非常棒,但這不會阻止攻擊者竊取數據。通過重新組織安全審核以發現整個組織的風險,您將能夠在此過程中勾選與合規性相關的框。
Gartner還發現,審計工作往往在筒倉中進行,而沒有組織中許多關鍵利益相關者的廣泛支持和支持。他們建議組織與多個利益相關者一起構建可更新和可重復的跨職能安全審計項目計劃,以便您可以隨時間跟蹤您的成功和失敗。
安全審核應遵循以下基本格式:
1. 定義評估標準
安全審核僅是其早期定義的完整程度。確定公司在審計中需要解決的總體目標,然后將其分解為部門優先事項。
簽署安全審核的所有業務目標,并跟蹤范圍外的項目和異常。
Gartner建議公司在審核之前就如何執行和跟蹤評估以及如何收集和處理結果達成協議。
注意事項:
- 行業和地理標準(例如,HIPAA,CCPA,GDPR等)
- 維護所有發現的風險向量的威脅目錄
- 您的利益相關者是否參與并能夠參與?
- 盡可能利用外部資源,經驗豐富的安全審核員可以幫助您提出正確的問題并成功指導審核
最重要的是,組織的優先級一定不能影響審核的結果。
簡而言之,不要忽視壞東西,因為它會使您的工作變得困難。
2. 準備安全審核
定義了所有成功標準和業務目標后,就該對這些項目進行優先級排序了。為了進行出色的審核,公司必須使自己的工作與清單上的頭條內容保持一致。并非每個項目都是頭等大事,也不是每個頭等大事都需要最大的努力。
在此步驟中,選擇實現業務目標所需的工具和方法。查找或創建適當的調查表或調查以收集正確的數據以進行審核。避免將方形釘工具插入要求的圓孔中,并且不要一刀切。
3. 進行安全審核
在審核過程中,請注意提供適當的文檔并在整個過程中進行盡職調查。監視審核的進度以及收集的數據點的準確性。使用以前的審核和新信息,以及審核團隊的指導,仔細選擇要降入的兔子洞。您將發現需要進一步檢查的細節,但首先要與團隊優先處理這些新項目。
使用先前步驟中約定的定義,完成審計并與所有利益相關者社會化結果。根據審核創建操作項目列表,并確定修復和更改的優先級,以補救發現的安全項目。
4. 當心風險和陷阱
成功的安全審核可能會遇到一些挑戰:
避免進行即時評估,信任流程
支持結果的事實–人們會回擊并質疑審計的有效性,并確保其徹底和完整
提防審計中定義不明確的范圍或要求,它們可能被證明是浪費時間
審核應該發現您的操作風險,這不同于過程審核或合規性審核,而是要專注于風險
安全審核的類型
Gartner針對三種不同的用例描述了三種不同的安全審核。
一次性評估:一次性評估是針對特殊情況或特殊情況執行的安全審核,并在操作中觸發。例如,如果您要引入一個新的軟件平臺,則需要進行一系列的測試和審計,以發現您要引入到商店中的任何新風險。
通行費評估:收費網關評估是具有二進制結果的安全審核。通過審核可以確定可以將新的流程或過程引入您的環境。您所確定的風險并沒有尋找可以阻止您前進的熱門廣告。
投資組合評估:投資組合安全性審核是年度審核,半年審核或定期進行的審核。使用這些審核來驗證是否遵循了您的安全流程和過程,并且它們足以滿足當前的業務環境和需求。
在IT審核中尋找什么
這是您在審核期間可能發現并標記的內容的不完整列表。
- 密碼復雜度不足
- 文件夾上的許可ACL過多
- 文件夾上的ACL不一致
- 文件活動審核不存在或不充分
- 審核數據的審核不存在或不充分
- 在所有系統上正確的安全軟件和安全配置
- 系統上僅安裝兼容軟件
- 遵循數據保留政策
- 災難恢復計劃已更新并經過測試
- 事件響應計劃已更新并經過測試
- 通過加密正確存儲和保護敏感數據
- 遵循變更管理程序
【編輯推薦】
