Hva Er En Cybersecurity Audit?
revisjon Av Cybersikkerhet handler om å vurdere samsvar. Byråer som utfører en cybersikkerhetsrevisjon, vil «kunne vurdere om de har de riktige sikkerhetsmekanismene på plass, samtidig som de sørger for at de overholder relevante forskrifter,» ifølge SecurityScorecard.
Organisasjoner som utfører cybersikkerhetsrevisjoner, kan deretter ta «en proaktiv tilnærming når de utformer cybersikkerhetspolicyer, noe som resulterer i mer dynamisk trusselhåndtering», bemerker firmaet.
cybersikkerhetsrevisjoner utføres av tredjepartsleverandører for å eliminere eventuelle interessekonflikter, ifølge SecurityScorecard. Men » de kan også administreres av et internt team så lenge de handler uavhengig av deres overordnede organisasjon.»
cybersecurity audit universe » inkluderer alle kontrollsett, ledelsespraksis og styring, risiko og overholdelse (GRC) bestemmelser som gjelder på bedriftsnivå. I noen tilfeller kan det utvidede revisjonsuniverset omfatte tredjeparter bundet av en kontrakt som inneholder revisjonsrettigheter, » ifølge IT governance and certification firm ISACA.
«Med det økende antall cybertrusler blir det kritisk for revisjonsplanen i alle organisasjoner å inkludere cybersikkerhet,» bemerker ISACA. «Som et resultat blir revisorer i økende grad pålagt å revidere cybersikkerhetsprosesser, retningslinjer og verktøy for å sikre at deres virksomhet har passende kontroller på plass. Sårbarheter i cybersikkerhet kan utgjøre alvorlige risikoer for hele organisasjonen — noe som gjør behovet for IT-revisorer godt bevandret i cybersikkerhetsrevisjoner større enn noensinne.»
RELATERT: Hvordan kan byråer best håndtere it supply chain cybersecurity trusler?
Beste Praksis For En Cybersikkerhetsrevisjon
det er flere beste praksis som byråer bør ta i forkant av og under en cybersikkerhetsrevisjon, spesielt hvis den utføres av en pålitelig tredjepart.
SecurityScorecard detaljer flere av dem på sin hjemmeside. Den ene er å gjennomgå byråets datasikkerhetspolitikk. «Før revisjonen begynner, må du kontrollere at du gjennomgår denne policyen med hensyn til data konfidensialitet, integritet og tilgjengelighet,» firmaet notater.
å ha størknet informasjonssikkerhetspolicyer hjelper revisorer til å «klassifisere data og bestemme hvilke sikkerhetsnivåer som er nødvendige for å beskytte den», ifølge SecurityScorecard.
En annen beste praksis er å sentralisere retningslinjer for cybersikkerhet og overholdelse i en enkelt liste eller et dokument, noe som hjelper revisorer med å få en mer fullstendig forståelse av byråets it-sikkerhetspraksis. Dette gjør det lettere for revisor å identifisere hull. Policyene SecurityScorecard anbefaler, inkludert, er relatert til nettverkstilgangskontroll, katastrofegjenoppretting og forretningskontinuitet, eksternt arbeid og akseptabel bruk.
Byråer bør også detaljere nettverksstrukturen, Anbefaler SecurityScorecard. «Et av målene med cybersikkerhetsrevisjoner er å bidra til å identifisere potensielle hull i sikkerheten på bedriftsnettverk. Å gi revisor et nettverksdiagram hjelper dem med å få en omfattende oversikt over IT-infrastrukturen og fremskynde vurderingsprosessen», skriver selskapet. «For å lage et nettverksdiagram, layout nettverksressursene dine, og detalj hvordan hver av dem jobber sammen. Med en ovenfra og ned-visning av nettverket ditt, kan revisorer lettere identifisere potensielle svakheter og kanter.»
IT-og cybersikkerhetsledere i et byrå bør også gjennomgå relevante samsvarsstandarder og krav før revisjonen begynner. Disse bør deles med revisjonsteamet, som gjør dem i stand til å justere revisjonen med byråets behov.
Endelig Anbefaler SecurityScorecard at byråer oppretter en liste over sikkerhetspersonell og deres ansvar i byrået. «Medarbeiderintervjuer er en viktig del av cybersikkerhetsrevisjoner. Revisorer vil ofte intervjue ulike sikkerhetspersonell for å få en bedre forståelse av en organisasjons sikkerhetsarkitektur,» sier firmaet.
Byråer kan effektivisere denne prosessen ved å gi revisjonsteamet en liste OVER IT-sikkerhetspersonell.
DYKK DYPERE: Følg disse tipsene for å forbedre byråets hendelsesresponsplan.
Hvor Ofte Bør Byråer Revidere Deres Cybersikkerhet?
Som cybersecurity ratings firma BitSight notater, er en cybersecurity audit mer formell enn en vurdering og er designet «for å fungere som en «sjekkliste» som validerer retningslinjene et cybersecurity team oppgitt faktisk er på plass, og at det er kontrollmekanismer på plass for å håndheve dem.»
«I Tillegg viser det som anses som en cybersikkerhetsrevisjon bare et øyeblikksbilde av nettverkshelsen din,» BitSight notater. «Mens en revisjon kan gi en grundig titt på din cyber-helse på et bestemt tidspunkt, gir det ikke noe innblikk i din pågående cyber management.»
Sikkerhetseksperter anbefaler at cybersikkerhetsrevisjoner skjer minst en gang per år. «Programvare sårbarheter blir oppdaget daglig,» skriver uavhengig IT – sikkerhetskonsulent Carole Fennelly I TechTarget. «En årlig sikkerhetsvurdering av en objektiv tredjepart er nødvendig for å sikre at sikkerhetsretningslinjer følges.»
Andre eksperter anbefaler å ha revisjoner oftere, men et bredt spekter av faktorer kan påvirke hvor ofte et byrå bør revidere sin cybersikkerhet, inkludert budsjett, om betydelige system-eller programvareendringer nylig er gjort og hvor strenge samsvarsstandarder er.
MER FRA FEDTECH: Hvordan kan byråer forsvare seg mot insider-trusler?
Tips for En Cybersecurity Audit
ISACA anbefaler at cybersecurity revisjoner definere revisjon emne og mål før en revisjon er igangsatt. Organisasjonen sier at grenser og begrensninger for å vurdere for cybersecurity revisjoner inkluderer enterprise versus en privat sfære av kontroll og om bruk av nonagency enheter og applikasjoner bør vurderes. Et annet element som kan begrense tilsynets omfang er om tilsynet vil fokusere på intern IT-infrastruktur versus ekstern infrastruktur.
«bruken av DEN strekker seg som regel utover det interne organisasjonsnettverket, som i reisebruk, hjemmebruksinnstillinger eller adopsjon av skyen,» ISACA notater. «Selv om dette kan skape ytterligere cybersikkerhetsrisiko, har det blitt vanlig praksis i de fleste bedrifter.»Det er spesielt sant med så mange føderale ansatte som fortsetter å jobbe hjemmefra.