Hvad er en Cybersikkerhedsrevision?
Cybersikkerhedsrevisioner handler om vurdering af overholdelse. Agenturer, der udfører en cybersikkerhedsrevision, vil” være i stand til at vurdere, om de har de rette sikkerhedsmekanismer på plads, samtidig med at de sørger for, at de overholder relevante regler”, ifølge SecurityScorecard.
organisationer, der udfører cybersikkerhedsrevisioner, kan derefter tage “en proaktiv tilgang, når de designer cybersikkerhedspolitikker, hvilket resulterer i mere dynamisk trusselstyring,” bemærker firmaet.
Cybersikkerhedsrevisioner udføres af tredjepartsleverandører for at eliminere eventuelle interessekonflikter, ifølge SecurityScorecard. Men ” de kan også administreres af et internt team, så længe de handler uafhængigt af deres moderorganisation.”
cybersikkerhedsrevisionsuniverset ” inkluderer alle kontrolsæt, ledelsespraksis og governance, risk and compliance (GRC) – bestemmelser, der er gældende på virksomhedsniveau. I nogle tilfælde kan det udvidede revisionsunivers omfatte tredjeparter, der er bundet af en kontrakt, der indeholder revisionsrettigheder,” ifølge it-styrings-og certificeringsfirmaet ISACA.
“med det stigende antal cybertrusler bliver det kritisk for revisionsplanen i enhver organisation at inkludere cybersikkerhed,” bemærker ISACA. “Som følge heraf bliver revisorer i stigende grad forpligtet til at revidere cybersikkerhedsprocesser, politikker og værktøjer for at sikre, at deres virksomhed har passende kontrol på plads. Sårbarheder i cybersikkerhed kan udgøre alvorlige risici for hele organisationen — hvilket gør behovet for it-revisorer velbevandret i cybersikkerhedsrevisioner større end nogensinde.”
relateret: Hvordan kan agenturer bedst håndtere it-forsyningskædens cybersikkerhedstrusler?
bedste praksis for en Cybersikkerhedsrevision
der er flere bedste fremgangsmåder, som agenturer bør tage forud for og under en cybersikkerhedsrevision, især hvis den udføres af en betroet tredjepart.
SecurityScorecard detaljer flere af dem på sin hjemmeside. Den ene er at gennemgå agenturets datasikkerhedspolitikker. “Før revisionen begynder, skal du sørge for at gennemgå denne politik med hensyn til datafortrolighed, integritet og tilgængelighed,” bemærker firmaet.
at have størknede informationssikkerhedspolitikker hjælper revisorer med at “klassificere data og bestemme, hvilke sikkerhedsniveauer der er nødvendige for at beskytte dem”, ifølge SecurityScorecard.
en anden bedste praksis er at centralisere cybersikkerheds-og overholdelsespolitikker i en enkelt liste eller et dokument, som hjælper revisorer med at få en mere fuldstændig forståelse af agenturets it-sikkerhedspraksis. Dette gør det derefter lettere for revisor at identificere huller. De politikker SecurityScorecard anbefaler, herunder er relateret til netværksadgangskontrol, katastrofegendannelse og forretningskontinuitet, fjernarbejde og acceptabel brug.
agenturer bør også detaljerede deres netværksstruktur, anbefaler SecurityScorecard. “Et af målene med cybersikkerhedsrevisioner er at hjælpe med at identificere potentielle huller i sikkerhed på virksomhedsnetværk. At give et netværksdiagram til din revisor hjælper dem med at få et omfattende overblik over din IT-infrastruktur og fremskynde vurderingsprocessen,” bemærker firmaet. “For at oprette et netværksdiagram skal du layout dine netværksaktiver og specificere, hvordan hver af dem fungerer sammen. Med en ovenfra og ned-visning af dit netværk kan revisorer lettere identificere potentielle svagheder og kanter.”
IT-og cybersikkerhedsledere i et agentur bør også gennemgå relevante overholdelsesstandarder og krav, inden revisionen begynder. Disse bør deles med revisionsteamet, som sætter dem i stand til at tilpasse revisionen til agenturets behov.
endelig anbefaler SecurityScorecard, at agenturer opretter en liste over sikkerhedspersonale og deres ansvar inden for agenturet. “Medarbejdersamtaler er en vigtig del af cybersikkerhedsrevisioner. Revisorer vil ofte tale med forskellige sikkerhedspersonale for at få en bedre forståelse af en organisations sikkerhedsarkitektur,” siger firmaet.
agenturer kan strømline denne proces ved at give revisionsteamet en liste over it-sikkerhedspersonale.
dyk dybere: Følg disse tip for at forbedre dit bureaus hændelsesresponsplan.
Hvor Ofte Skal Agenturer Revidere Deres Cybersikkerhed?
som cybersikkerhedsvurderingsfirmaet BitSight bemærker, er en cybersikkerhedsrevision mere formel end en vurdering og er designet “til at fungere som en “tjekliste”, der validerer de politikker, som et cybersikkerhedsteam sagde, faktisk er på plads, og at der er kontrolmekanismer på plads for at håndhæve dem.”
” derudover viser det, der betragtes som en cybersikkerhedsrevision, kun et øjebliksbillede af dit netværkssundhed, ” bemærker BitSight. “Mens en revision kan give et dybtgående kig på din cyber-sundhed på et bestemt tidspunkt, giver det ikke noget indblik i din igangværende cyberstyring.”
sikkerhedseksperter anbefaler, at cybersikkerhedsrevisioner finder sted mindst en gang om året. “Sårbarheder opdages dagligt,” skriver den uafhængige IT-sikkerhedskonsulent Carole Fennelly i TechTarget. “En årlig sikkerhedsvurdering foretaget af en objektiv tredjepart er nødvendig for at sikre, at sikkerhedsretningslinjer følges.”
andre eksperter anbefaler at have revisioner oftere, men en lang række faktorer kan påvirke, hvor ofte et agentur skal revidere sin cybersikkerhed, herunder budget, om der for nylig er foretaget væsentlige system-eller programændringer, og hvor strenge overholdelsesstandarder er.
mere fra FEDTECH: Hvordan kan agenturer forsvare sig mod insidertrusler?
Tips til en Cybersikkerhedsrevision
ISACA anbefaler, at cybersikkerhedsrevisioner definerer revisionsemnet og-målet, før en revision påbegyndes. Organisationen siger, at grænser og begrænsninger, der skal overvejes for cybersikkerhedsrevisioner, inkluderer virksomhed versus en privat sfære af kontrol, og om brug af ikke-agentenheder og applikationer bør overvejes. Et andet element, der kan begrænse Revisionens omfang, er, om revisionen vil fokusere på intern IT-infrastruktur versus ekstern infrastruktur.
“som regel strækker brugen af det sig ud over det interne organisatoriske netværk, som i rejsebrug, hjemmebrug eller vedtagelse af skyen,” bemærker ISACA. “Selvom dette kan skabe yderligere cybersikkerhedsrisiko, er det blevet almindelig praksis i de fleste virksomheder.”Det er især tilfældet med så mange føderale medarbejdere, der fortsætter med at arbejde hjemmefra.