网络安全事件已经成为新闻周期的主要内容,所有澳门赌场官方下载都应该关注, 不管他们是什么行业. SolarWinds, 殖民输油管, 推特, 超级, 据报道,2022年有3.1亿次数据泄露,其中包括WhatsApp和微软.1 这包括数百起针对医疗设施的网络事件, 城市, 市, 高中, 大学和中小澳门赌场官方下载(SMEs)的日常报告.2
以努力保护组织和消费者免受此类事件的影响, 政府机构提供有关改进流程和管理监督的指导. 例如, 美国证券交易委员会(SEC)提出了上市公司董事会(BoDs)的指导方针, 哪些是为了让董事和高级管理层在网络安全方面达到更高的标准.3 该指导方针部分源于投资者对透明度日益增长的要求.
这些需求提示了一个明显的问题:BoD如何确保它充分满足需求? 识别一个组织正在做的事情的差距的最好方法之一. 它应该做的是进行彻底的it审计. IT审计不仅捕获组织在必要的风险评估方面的投资, 策略, 政策, 和程序, 但它也记录了该组织是否遵守了自己的政策和程序, 以及行业网络安全标准, 以令人满意和可测量的方式.
没有选择测试和衡量网络安全文档投资的组织(及其董事会), 实践和控制更有可能暴露于责任和潜在的法律行动, 特别是当发生事故或违规时. 索赔人可以断言,该组织的董事会忽视了其责任,未能采取足够的步骤来确认该组织的保护.
进行IT审计前要问的问题
随着组织及其董事会的网络安全责任不断升级, 在进行IT审核之前,应该问几个问题:
- 董事会有网络安全专家吗, 还是计划聘请网络安全或技术专家, 要么通过招募成员,要么寻求外包的专业知识?
- 组织是否有适当的结构来支持整个澳门赌场官方下载的网络安全?
- 董事会是否收到及时和充分的网络安全报告?
- 网络和技术讨论是否记录在董事会和委员会会议记录中?
- 供应商管理程序是否有效运作?
- 网络安全风险是组织业务战略的一部分吗, 风险管理和财务监督?
- 是否对所有员工和董事会进行持续的网络安全培训, 培训是否针对组织及其员工的工作职责?
在审计师选择过程中进行尽职调查
IT审核流程的第一步是选择合适的组织来完成审核. 内部审计师或高级管理层应该研究IT审计公司,并确定哪些公司应该收到建议请求(RFP)。. 这个过程应该包括联系同事和同行,询问他们会推荐谁来进行审计. 一旦名单被制定出来, RFP应该发送给公司,以确定组织的具体需求和期望. 的生化需氧量, 审计委员会或其他指定的委员会应在审计师遴选过程中发挥作用.
在决定聘请哪一位审计师时, 选择最便宜或最方便的选择可能很诱人. 然而, 以确保IT审核过程提供最大的利益, 找到一位花时间了解组织及其需求的it审计员是很重要的. 选择过程应包括确保审计公司经过全面审查.
确保IT审核过程提供最大的效益, 找到一位花时间了解组织及其需求的it审计员是很重要的.
尽职调查过程中的考虑因素包括:
- 评估完成IT审计的审核员的经验和教育程度
- 完成和记录审计事务所的推荐
- 请求IT审计报告样本
理解目标和范围
的生化需氧量, 或董事会辖下的小组委员会, 谁负责组织的风险监督, 包括IT和网络安全. 这种风险监督包括审查和批准审计风险评估, 审核计划, 审核目标和审核范围. 董事会或小组委员会确保计划, 目标和范围满足组织的战略和运营目标.
IT审计对于评估风险管理实践至关重要, 内部控制系统和遵从有关it相关风险的组织政策. 这使得IT审计成为创建安全IT环境和评估组织可能因不遵守自己的策略而面临的风险的关键部分. IT审计应设法验证管理层所处理的控制措施是否已得到实施和记录. 除了, IT审计应该为安全控制改进提供建议,以帮助组织加强其信息安全状况.
IT审计是创建安全IT环境和评估组织可能因不遵守自己的政策而面临的风险的关键部分.
IT审计应该是基于风险的,并且具体到组织的规模和复杂程度. 要评估组织的当前状态并帮助确定IT审计的范围,需要问几个问题, 包括:
- 产品和服务:
- 用什么技术来服务客户?
- 这些技术是否利用了互联网?
- 这些技术是托管在本地、数据中心还是云中?
- 最关键的供应商:
- 供应商是否提供尽职调查文件?
- 供应商安全吗?? 他们是如何保护自己的?
- 内部技术能力:
- 组织是否使用现代技术来防止未经授权的访问、恶意软件和勒索软件?
- 组织是否利用托管服务提供者(MSP) ??
- 网络是否有适当的补丁和监控?
- Cybermaturity:
- 组织是否遵守网络安全标准或指导方针?
- 组织是否根据该标准对自身进行了度量,以确定成熟度和差距?
- 资讯科技相关风险评估:
- 组织是否完成了适当的IT风险评估?
- 组织是否度量与it相关的风险和其他降低风险的方法(i.e.、控制)?
- 以往的资讯科技审核结果及建议:
- 组织是否跟踪和纠正以前的发现和建议?
此外,IT审计应该包括关注的趋势领域(例如.e.基于最近的网络安全指导、事件和漏洞.
IT审计应该处理澳门赌场官方下载范围内的IT风险暴露,包括以下领域:
- IT管理和战略规划(治理)
- 数据中心运营
- 云计算(如果适用)
- 客户机/服务器体系结构
- 局域网和广域网
- 电信
- 网络攻击防护
- 物理和信息安全
- 系统开发
- 供应商管理
- 业务连续性计划(BCP)
- 事件响应计划
IT审计结果
IT审计应该识别组织结构中的差距和漏洞, 政策, 程序, 计划, 风险评估, 战略计划或缓解策略. IT审计报告应提供建议,以弥补注意到的任何差距或漏洞.
下一步是分配建议的责任,以及纠正所注意到的问题所需行动的预期完成日期. 最后, 补救计划应提交给董事会(或指定的委员会),直到每个行动项目得到解决,或董事会接受了与建议相关的风险. 通过有一个正式的审计补救过程, 董事会可以确保及时解决审计缺陷.
结论
每个利用技术和互联网开展业务的组织都必须进行规划, 管理和监控快速变化的技术,以适当地服务现有客户并获得新客户. 组织必须交付和支持新产品, 服务和交付渠道或风险落后于技术时代. 这些变化的速度以及由此产生的对技术的依赖增加,使得将IT审计覆盖纳入有效的网络安全计划至关重要.
审计委员会负责通过在审计前提出正确的问题来确保IT审计是有效的, 确认已完成充分的尽职调查, 了解IT审核的范围和目标, 并通过要求管理层对注意到的任何异常或提出的建议作出回应,确保采取与审计相关的适当行动. 董事会成员对董事会所做的决定负有很大的责任. 董事会作出的决定可能会影响到组织或董事会成员个人. 董事会的行动对组织的盈利能力和声誉有至关重要的影响.
还记得, IT审计的总体目标不仅仅是识别组织结构中的差距和漏洞, 政策, 程序, 计划, 风险评估, 战略计划或缓解策略, 同时也可以帮助组织做出更好的网络安全决策,了解如何在当今的澳门赌场官方下载技术风险环境中最有效地运营.
尾注
1 Surfshark。”2021年数据泄露统计对比. 2022, 2023年1月18日
2 联邦调查局, 网络犯罪报告20222023年3月10日,美国
3 美国证券交易委员会美国证券交易委员会提出网络安全风险管理规则, 策略, 治理, 以及上市公司事件披露2022年3月9日
Laura Tate Zannucci, CISA, CISM, CDPSE
是SBS网络安全的信息安全顾问和信息安全官吗, 有限责任公司. 在SBS网络安全工作之前, Zannucci在金融机构工作了20多年,在那里她担任过各种职位,包括信息安全官, 内审员和运营经理.