- o que é uma auditoria de segurança cibernética?
- melhores práticas para uma auditoria de segurança cibernética
- Com Que Frequência As Agências Devem Auditar Sua Segurança Cibernética?Como observa a BitSight, uma auditoria de segurança cibernética é mais formal do que uma avaliação e é projetada “para atuar como uma ‘lista de verificação’ que valida as políticas que uma equipe de segurança cibernética declarou que estão realmente em vigor e que existem mecanismos de controle para aplicá-las.”
- dicas para uma auditoria de segurança cibernética
o que é uma auditoria de segurança cibernética?
auditorias de segurança cibernética são sobre a avaliação da conformidade. As agências que realizam uma auditoria de segurança cibernética “poderão avaliar se possuem ou não os mecanismos de segurança adequados, além de garantir que estejam em conformidade com os regulamentos relevantes”, de acordo com o SecurityScorecard.As organizações que realizam auditorias de segurança cibernética podem adotar “uma abordagem proativa ao projetar Políticas de segurança cibernética, resultando em um gerenciamento de ameaças mais dinâmico”, observa a empresa.As auditorias de segurança cibernética são realizadas por fornecedores terceirizados para eliminar quaisquer conflitos de interesse, de acordo com o SecurityScorecard. No entanto, ” eles também podem ser administrados por uma equipe interna, desde que atuem independentemente de sua organização pai.”
the cybersecurity audit universe ” inclui todos os conjuntos de controle, práticas de gerenciamento e disposições de governança, risco e conformidade (GRC) em vigor no nível da empresa. Em alguns casos, o universo de auditoria estendida pode incluir terceiros vinculados por um contrato contendo direitos de auditoria”, de acordo com a empresa de governança e certificação de TI ISACA.
“com o crescente número de ameaças cibernéticas, está se tornando crítico para o plano de auditoria em todas as organizações incluir segurança cibernética”, observa a ISACA. “Como resultado, os auditores estão sendo cada vez mais obrigados a auditar processos, políticas e ferramentas de segurança cibernética para garantir que sua empresa tenha controles apropriados em vigor. Vulnerabilidades na segurança cibernética podem representar sérios riscos para toda a organização — tornando a necessidade de auditores de TI bem versados em auditorias de segurança cibernética maior do que nunca.”
relacionado: como as agências podem lidar melhor com as ameaças de segurança cibernética da cadeia de suprimentos de TI?
melhores práticas para uma auditoria de segurança cibernética
existem várias práticas recomendadas que as agências devem levar à frente e durante uma auditoria de segurança cibernética, especialmente se estiver sendo conduzida por um terceiro confiável.
SecurityScorecard detalha vários deles em seu site. Uma delas é revisar as Políticas de segurança de dados da agência. “Antes do início da auditoria, certifique-se de revisar esta política em relação à confidencialidade, integridade e disponibilidade dos dados”, observa a empresa.Ter políticas de segurança da informação solidificadas ajuda os auditores a “classificar os dados e determinar quais níveis de segurança são necessários para protegê-los”, de acordo com o SecurityScorecard.Outra prática recomendada é centralizar as Políticas de segurança cibernética e conformidade em uma única lista ou documento, o que ajuda os auditores a obter uma compreensão mais completa das práticas de segurança de TI da agência. Isso torna mais fácil para o auditor identificar lacunas. As políticas que a SecurityScorecard recomenda incluem estão relacionadas ao controle de acesso à rede, recuperação de desastres e continuidade de negócios, trabalho remoto e uso aceitável.
as agências também devem detalhar sua estrutura de rede, recomenda SecurityScorecard. “Um dos objetivos das auditorias de segurança cibernética é ajudar a identificar possíveis lacunas na segurança nas redes corporativas. Fornecer um diagrama de rede ao seu auditor os ajuda a obter uma visão abrangente de sua infraestrutura de TI, agilizando o processo de avaliação”, observa a empresa. Para criar um diagrama de rede, layout de seus ativos de rede e detalhar como cada um deles trabalha em conjunto. Com uma visão de cima para baixo de sua rede, os auditores podem identificar mais facilmente possíveis fraquezas e arestas.Os líderes de TI e segurança cibernética de uma agência também devem revisar os padrões e requisitos de Conformidade relevantes antes do início da auditoria. Estes devem ser partilhados com a equipa de auditoria, o que lhes permite alinhar a auditoria com as necessidades da agência.Finalmente, SecurityScorecard recomenda que as agências criem uma lista de pessoal de segurança e suas responsabilidades dentro da agência. “As entrevistas com funcionários são uma parte importante das auditorias de segurança cibernética. Os auditores frequentemente entrevistam vários funcionários de segurança para obter uma melhor compreensão da arquitetura de segurança de uma organização”, diz a empresa.
as agências podem agilizar esse processo fornecendo à equipe de auditoria uma lista da equipe de segurança de TI.
mergulhe mais fundo: siga estas dicas para melhorar o plano de resposta a incidentes da sua agência.
Com Que Frequência As Agências Devem Auditar Sua Segurança Cibernética?Como observa a BitSight, uma auditoria de segurança cibernética é mais formal do que uma avaliação e é projetada “para atuar como uma ‘lista de verificação’ que valida as políticas que uma equipe de segurança cibernética declarou que estão realmente em vigor e que existem mecanismos de controle para aplicá-las.”
“além disso, o que é considerado uma auditoria de segurança cibernética mostra apenas um instantâneo da integridade da rede”, observa o BitSight. “Embora uma auditoria possa fornecer uma visão aprofundada de sua cibersegurança em um ponto específico no tempo, ela não fornece nenhuma visão sobre seu gerenciamento cibernético contínuo.”
especialistas em segurança recomendam que as auditorias de segurança cibernética ocorram pelo menos uma vez por ano. “Vulnerabilidades de Software são descobertas diariamente”, Escreve a consultora independente de segurança de TI Carole Fennelly em TechTarget. “Uma avaliação anual de segurança por um terceiro objetivo é necessária para garantir que as Diretrizes de segurança sejam seguidas.”Outros especialistas recomendam auditorias com mais frequência, mas uma ampla gama de fatores pode afetar a frequência com que uma agência deve auditar sua segurança cibernética, incluindo o orçamento, se mudanças significativas no sistema ou no software foram feitas recentemente e quão rigorosos são os padrões de Conformidade.
mais da FEDTECH: como as agências podem se defender contra ameaças internas?
dicas para uma auditoria de segurança cibernética
a ISACA recomenda que as auditorias de segurança cibernética definam o assunto e o objetivo da auditoria antes que uma auditoria seja iniciada. A organização diz que limites e limitações a serem considerados para auditorias de segurança cibernética incluem empresas versus uma esfera privada de controle e se o uso de dispositivos e aplicativos não-agências deve ser considerado. Outro elemento que pode limitar o escopo da auditoria é se a auditoria se concentrará na infraestrutura interna de TI versus infraestrutura externa.
“via de regra, o uso dele se estende além da rede organizacional interna, como no uso itinerante, nas configurações de uso doméstico ou na adoção da nuvem”, observa a ISACA. “Embora isso possa criar riscos adicionais de segurança cibernética, tornou-se uma prática comum na maioria das empresas.”Isso é especialmente verdadeiro com tantos funcionários federais continuando a trabalhar em casa.