Если вы управляете бизнесом или управляете проектом, влияние киберпреступника на вашу компанию может быть катастрофическим. Они могут украсть данные о клиентах и ​​разрушить вашу репутацию. Это то, от чего многие не могут прийти в себя. И, в отличие от физического мира, где плохие районы более четко разграничены, киберугрозы могут быть похожи на троянского коня. Они могут показаться дружелюбными, но когда ваша охрана не работает, они обыскивают ваши данные

Угроза также может быть внутренней, например, недовольный сотрудник, саботирующий все, что вы создали, годами за секунды. Итог: технология полезна, но она также уязвима. Вот почему организации должны проводить ИТ-аудит, чтобы убедиться, что их данные и сеть защищены от атак. Аудит информационной безопасности может быть единственным, что стоит между успехом и провалом.

Что такое ИТ-аудит?

Аудит звучит плохо. Никто не хочет получать это письмо, объявляющее, что IRS собирается открыть аудит ваших финансовых данных. Но аудит означает только официальную проверку своих счетов. Поэтому аудит информационных технологий является официальным исследованием ИТ-инфраструктуры, политик и операций организации. Это также добавляет оценку, чтобы предложить улучшения. ИТ-аудиты проводятся с середины 1960-х годов и с тех пор непрерывно развиваются по мере развития технологий.

Вы можете думать об этом как о проверке ИТ-безопасности. Задача состоит в том, чтобы убедиться, что установленные средства контроля ИТ должным образом защищают активы компании, обеспечивают целостность данных и соответствуют целям и задачам компании. Это означает, что проверяется все, что связано с ИТ, от физической безопасности до общих деловых и финансовых проблем.

Пять категорий ИТ-аудитов

В общих чертах, ИТ-аудит можно разбить на две части: общий контроль и анализ управления приложениями. Но, если вы хотите получить более конкретную информацию, вот пять категорий хорошо выполненного аудита.

Системы и приложения: это касается систем и приложений внутри организации. Он обеспечивает их соответствие, эффективность, достоверность, надежность, своевременность и безопасность на всех уровнях деятельности.

Средства обработки информации: проверяет, что процесс работает правильно, своевременно и точно, будь то в нормальных или разрушительных условиях.

Разработка систем: чтобы увидеть, создаются ли те системы, которые находятся в стадии разработки, в соответствии со стандартами организации.

Управление ИТ-инфраструктурой и архитектурой предприятия: обеспечение того, чтобы управление ИТ-инфраструктурой было структурировано и обрабатывалось контролируемым и эффективным образом.

Клиент / сервер, телекоммуникации, интрасети и экстрасети. В нем освещаются элементы управления телекоммуникациями, такие как сервер и сеть, которые являются мостом между клиентами и серверами.

Кто отвечает?

ИТ-аудитор отвечает за внутренний контроль и риски, связанные с ИТ-сетью организации. Это включает в себя выявление слабых мест в ИТ-системе и реагирование на любые проблемы, а также планирование предотвращения нарушений безопасности. Для этого навыка имеются сертификаты, такие как сертифицированный аудитор информационных систем (CISA) и сертифицированные специалисты по безопасности информационных систем (CISSP).

Что такое хорошая частота?

Несмотря на то, что жестких правил по частоте не существует, регулярные проверки безопасности ИТ должны быть частью постоянных усилий организации. Они требуют времени и усилий, так что это уравновешивание. Лучше выяснить, как часто другие организации в вашей отрасли, размерах и т. Д. Проводят свои, чтобы получить базовый уровень.

IT Audit Best Practices

Процесс проведения ИТ-аудита является сложным и затрагивает все аспекты вашей информационной системы. Есть общие проблемы управления и политики, которые необходимо учитывать. Существует также архитектура и дизайн безопасности, системы и сети, аутентификация и авторизация и даже физическая безопасность. Это включает планирование непрерывности и аварийное восстановление, как любое хорошее управление рисками.

Есть также некоторые превосходящие лучшие практики, которые могут провести вас через лабиринт, так что вы начинаете и заканчиваете эффективно. Эти пять советов помогут вам правильно провести аудит ИТ-безопасности.

Область применения. Зная заранее объем аудита, вы с большей вероятностью сможете провести аудит без проблем. Во-первых, вы захотите привлечь все заинтересованные стороны к планированию. Поговорите с теми, кто работает в ИТ-среде. Они могут помочь вам понять, какие риски вы ищете, чтобы определить и понять текущие возможности системы. Таким образом, у вас будет лучшее представление о том, нужно ли внедрять новые технологии или нет. Также ознакомьтесь с применимыми законами и правилами, чтобы убедиться, что вы соответствуете требованиям.

Внешние ресурсы: у вас может быть собственная команда, которая может самостоятельно проводить аудит ИТ-безопасности, или вам может потребоваться поиск сторонних подрядчиков, чтобы помочь с деталями или всем этим. Это должно быть определено заранее. Возможно, у вас есть менеджер по ИТ-аудиту или вам нужно нанять консультанта, который затем сможет обучить команду тому, что следует отслеживать между ИТ-аудитами.

Внедрение: Знайте, что у вас есть инвентарь и поместите эти системы в список, упорядоченный по приоритетам Знать отраслевые стандарты, методы и процедуры, чтобы убедиться, что вы в курсе самых современных практик. Оцените свой аудит, чтобы увидеть, защищены ли активы и снижены ли риски.

Обратная связь. В отчетах об ИТ-аудите может показаться, что они на другом языке, если вы не являетесь ИТ-специалистом. Чтобы аудит был эффективным, аудит должен быть понятен тем, кто принимает решения. ИТ-аудитор должен лично предоставить отчет и задать любые вопросы, чтобы после его завершения не возникало вопросов о работе и обнаруженных уязвимостях.

Повторите: ИТ-аудит, конечно, не является разовым мероприятием, но между ревизиями еще есть над чем поработать. Это включает в себя предоставление рекомендаций в будущем с использованием ИТ-программного обеспечения, которое может автоматически отслеживать системы, пользователей и активы. Было бы неплохо составить план ежеквартального пересмотра применимых законов, нормативных актов и новых разработок, поскольку технологическое пространство, как известно, быстро движется.

При проведении ИТ-аудита существует много задач, которые, вероятно, требуют выполнения команды. Похоже на проект. Несмотря на то, что существуют пакеты программного обеспечения, предназначенные для мониторинга информационной безопасности, аудит — это другое животное, и для эффективного управления им может быть полезно программное обеспечение для управления проектами.

Каждый аудит может быть разбит на ряд задач, так же как вы используете структуру разбивки работ (WBS), чтобы взять большой проект и разбить его на более мелкие, более управляемые части. Список задач может иметь приоритет, а затем эта электронная таблица загружается, где он преобразуется из статического листа в динамический инструмент.