co je to audit kybernetické bezpečnosti?
audity kybernetické bezpečnosti jsou o posouzení shody. Agentury, které provádějí audit kybernetické bezpečnosti, budou“ schopny posoudit, zda mají zavedeny správné bezpečnostní mechanismy, a zároveň zajistit, aby byly v souladu s příslušnými předpisy“, podle SecurityScorecard.
organizace, které provádějí audity kybernetické bezpečnosti, pak mohou při navrhování politik kybernetické bezpečnosti zaujmout „proaktivní přístup, což má za následek dynamičtější řízení hrozeb,“ poznamenává firma.
podle SecurityScorecard provádějí audity kybernetické bezpečnosti dodavatelé třetích stran, aby eliminovali jakýkoli střet zájmů. „Mohou však být také spravovány interním týmem, pokud jednají nezávisle na své mateřské organizaci.“
vesmír auditu kybernetické bezpečnosti „zahrnuje všechny kontrolní sady, postupy řízení a ustanovení o správě, rizicích a dodržování předpisů (GRC) platná na podnikové úrovni. V některých případech může rozšířený audit zahrnovat i třetí osoby vázané smlouvou obsahující auditorská práva,“ uvádí it manažerská a certifikační firma ISACA.
„s rostoucím počtem kybernetických hrozeb se stává kritickým pro plán auditu v každé organizaci, aby zahrnoval kybernetickou bezpečnost,“ poznamenává ISACA. „V důsledku toho se od auditorů stále více vyžaduje audit procesů, politik a nástrojů kybernetické bezpečnosti, aby bylo zajištěno, že jejich podnik má zavedeny vhodné kontroly. Zranitelnosti v kybernetické bezpečnosti mohou představovat vážná rizika pro celou organizaci — díky tomu je potřeba it auditorů dobře zběhlých v auditech kybernetické bezpečnosti větší než kdy jindy.“
SOUVISEJÍCÍ: Jak mohou agentury nejlépe zvládnout hrozby kybernetické bezpečnosti v dodavatelském řetězci IT?
osvědčené postupy pro Audit kybernetické bezpečnosti
existuje několik osvědčených postupů, které by agentury měly přijmout před auditem kybernetické bezpečnosti a během něj, zejména pokud je prováděn důvěryhodnou třetí stranou.
SecurityScorecard na svých webových stránkách uvádí několik z nich. Jedním z nich je přezkoumat zásady zabezpečení dat agentury. „Před zahájením auditu se ujistěte, že tyto zásady přezkoumáte s ohledem na důvěrnost, integritu a dostupnost údajů,“ poznamenává firma.
zpevnění zásad bezpečnosti informací pomáhá auditorům „klasifikovat data a určit, které úrovně zabezpečení jsou potřebné k jejich ochraně“, podle SecurityScorecard.
dalším osvědčeným postupem je centralizace politik kybernetické bezpečnosti a dodržování předpisů do jediného seznamu nebo dokumentu, což pomáhá auditorům lépe porozumět postupům agentury v oblasti bezpečnosti IT. To pak usnadňuje auditorovi identifikovat mezery. Zásady SecurityScorecard doporučuje, včetně se týkají řízení přístupu k síti, obnovení po havárii a kontinuity podnikání, práce na dálku, a přijatelné použití.
agentury by také měly podrobně popsat strukturu své sítě, doporučuje SecurityScorecard. „Jedním z cílů auditů kybernetické bezpečnosti je pomoci identifikovat potenciální mezery v zabezpečení podnikových sítí. Poskytnutí síťového diagramu auditorovi jim pomůže získat komplexní pohled na vaši IT infrastrukturu a urychlit proces hodnocení, “ poznamenává firma. „Chcete-li vytvořit síťový diagram, rozložte síťová aktiva a podrobně popište, jak každý z nich spolupracuje. S pohledem shora dolů na vaši síť mohou auditoři snadněji identifikovat potenciální slabiny a hrany.“
vedoucí pracovníci v oblasti IT a kybernetické bezpečnosti v agentuře by také měli před zahájením auditu přezkoumat příslušné standardy a požadavky na dodržování předpisů. Ty by měly být sdíleny s auditorským týmem, který jim umožní sladit audit s potřebami agentury.
a konečně, SecurityScorecard doporučuje, aby agentury vytvořily seznam bezpečnostních pracovníků a jejich odpovědností v rámci agentury. „Rozhovory se zaměstnanci jsou důležitou součástí auditů kybernetické bezpečnosti. Auditoři často pohovoří s různými bezpečnostními pracovníky, aby lépe porozuměli bezpečnostní architektuře organizace, “ říká firma.
agentury mohou tento proces zefektivnit tím, že auditorskému týmu poskytnou seznam pracovníků IT bezpečnosti.
ponořte se hlouběji: postupujte podle těchto tipů a vylepšete plán reakce na incidenty vaší agentury.
Jak Často By Agentury Měly Kontrolovat Svou Kybernetickou Bezpečnost?
jak poznamenává společnost bitsight pro hodnocení kybernetické bezpečnosti, audit kybernetické bezpečnosti je formálnější než hodnocení a je navržen tak, aby „fungoval jako “ kontrolní seznam“, který ověřuje zásady, které uvedl tým kybernetické bezpečnosti, a že existují kontrolní mechanismy k jejich vymáhání.“
„to, co je považováno za audit kybernetické bezpečnosti, navíc ukazuje pouze snímek zdraví vaší sítě,“ poznamenává BitSight. „Zatímco audit může poskytnout podrobný pohled na vaše kybernetické zdraví v určitém časovém okamžiku, neposkytuje žádný pohled na vaši probíhající kybernetickou správu.“
bezpečnostní odborníci doporučují, aby audity kybernetické bezpečnosti probíhaly alespoň jednou ročně. „Zranitelnosti softwaru jsou objevovány denně,“ píše nezávislá konzultantka pro bezpečnost IT Carole Fennelly v TechTarget. „Roční hodnocení bezpečnosti objektivní třetí stranou je nezbytné k zajištění dodržování bezpečnostních pokynů.“
jiní odborníci doporučují provádět audity častěji, ale celá řada faktorů může ovlivnit, jak často by agentura měla kontrolovat svou kybernetickou bezpečnost, včetně rozpočtu, zda byly nedávno provedeny významné systémové nebo softwarové změny a jak přísné jsou standardy dodržování předpisů.
více od FEDTECH: jak se mohou agentury bránit proti hrozbám zasvěcených osob?
Tipy pro Audit kybernetické bezpečnosti
ISACA doporučuje, aby audity kybernetické bezpečnosti definovaly předmět a cíl auditu před zahájením auditu. Organizace říká, že hranice a omezení, která je třeba vzít v úvahu při auditech kybernetické bezpečnosti, zahrnují podnik versus soukromou sféru kontroly a zda by mělo být zváženo použití neagenturních zařízení a aplikací. Dalším prvkem, který může omezit rozsah auditu, je to, zda se audit zaměří na interní IT infrastrukturu versus externí infrastrukturu.
„jeho použití zpravidla přesahuje vnitřní organizační síť, jako při cestování, nastavení domácího použití nebo přijetí cloudu,“ poznamenává ISACA. „I když to může způsobit další riziko kybernetické bezpečnosti, ve většině podniků se stalo běžnou praxí.“To platí zejména pro tolik federálních zaměstnanců, kteří pokračují v práci z domova.