网络安全已成为全球范围内的一个紧迫问题,因此需要通过健全的审计程序为高级管理层和董事会(BoD)提供保证。网络安全审计可以被视作是为了确保网络活动的安全,对现有系统和控制措施的评估,目标是在更深层次上评估当前的技术、政策和程序,确定是否有效地满足了所有适用的标准和法规。在审计过程中,组织可以应用一些最佳实践衡量网络安全系统、流程和控制措施的效率和有效性。
执行网络安全审计的原因
网络安全审计师的目标是验证一个组织是否按照各种网络安全标准、法规和指导方针运营。网络安全审计会根据企业的合规性衡量其现状,并与特定的行业标准对照,然后进行差距分析,通过有针对性的建议确保尽早发现并纠正所有控制差距。
审计人员应定期执行网络安全审计的原因有以下几点:
定期监测组织的IT基础设施、系统和控制措施,检测任何潜在风险或缺陷
确认现有系统满足最低合规要求,并降低预期风险
评估网络安全运营系统和流程的效率和有效性
检查信息系统、安全控制措施和管理程序,降低风险
为制定应急计划提供建议,应对紧急网络攻击或其他漏洞
网络安全审计的要点包括审查网络安全策略、制定网络安全综合措施、从业人员网络能力分析,以及协助组织内基于风险的审计计划。
网络安全审计的要点包括审查网络安全策略、制定网络安全综合措施、从业人员网络能力分析,以及协助组织内基于风险的审计计划。
图片来源于公共图片库
对网络安全策略的审查
信息安全策略对网络安全审计人员至关重要,因为了解这些政策可以让审计人员对组织的数据进行分类,并确定保护这些数据所需的安全级别。在审查任何相关网络安全策略时,网络安全审计师应努力将其与理想版本或全球标准比较。确定企业的网络安全策略是否符合行业和全球标准至关重要。在执行此步骤之前,了解哪些合规性法规与组织相关并适用于组织也很重要。
网络安全计划和策略应该参照的全球标准包括:
支付卡行业数据安全标准(PCI-DSS)
系统和组织控制(SOC)
2002年美国萨班斯-奥克斯利法案(SOX)
国际标准化组织(ISO)
欧盟通用数据保护条例(GDPR)
云安全联盟(CSA)云控制矩阵(CCM)
互联网安全控制中心(CIS),以前称为关键安全控制中心
根据各自的行业和/或管辖区,组织可能需要遵守一个或多个标准。例如,金融机构由于广泛使用信用卡和借记卡,通常必须遵守PCI-DSS,而上市实体(尤其是跨国公司)则要求遵守SOX。网络安全审计师还应该考虑司法管辖权。例如,GDPR如何影响位于欧盟或在欧盟从事业务的国家。当然,一些标准普遍还适用于各个行业和司法管辖区(如CCM、ISO标准)。
制定网络安全审计的综合方法
将网络安全、风险管理和合规策略集中到一个统一的工作文件中,帮助网络安全审计师更全面地了解组织的网络安全脉搏,这一点至关重要。反过来,这也使审计人员更容易识别差距,因为网络安全、风险管理和合规之间总是相互关联。
将网络安全、风险管理和合规策略集中到一个统一的工作文件中,帮助网络安全审计师更全面地了解组织的网络安全脉搏,这一点至关重要。
网络安全审计人员应在审计开始前审查相关合规标准和要求。如果组织设有合规部门,则应与审计团队共享相关信息。共享合规信息使网络安全审计人员能够及时了解立法和法规的变化,并相应地使特定审计与组织的迫切需求保持一致。为此,内部审计职能部门和审计委员会必须定期与首席信息官(CIO)和首席信息安全官(CISO)会面,讨论重要的网络安全问题,并就新出现的威胁、漏洞、网络安全法律法规交流看法。
利用自动化工具(如仪表盘)帮助团队无缝沟通并高效协调审计活动可能是有用的。一个集中的数据存储库,内部审计、合规和IT团队可以在云中轻松维护、访问和共享相关数据,以便每个团队轻松访问。该集中存储库允许审计团队将安全风险映射到网络安全审计中的可审计实体、IT资产、控制措施、法规和其他关键因素。通过无缝集成的数据流,内部审计可以一目了然地确定网络安全风险或无效且低效的控制措施可能会对整个组织产生何种影响。这样,内部审计师就能够主动提出有针对性的建议,解决发现的问题。
图片来源于公共图片库
分析相关人员的网络能力
在全球范围内,很难找到足够的人员填补网络安全人才的短缺。组织应建立一份信息安全人员及职责清单,作为持续处理网络安全问题的必要步骤。员工访谈是网络安全审计的重要组成部分,因为审计师试图确定组织是否雇佣了称职的网络安全人员协助防范网络风险。网络安全审计人员通常会采访各种IT和信息安全人员,以更好地了解组织的安全架构和威胁情况。审计师还应该采访董事会成员,评估他们对网络安全风险的理解。然后,网络安全审计人员可以验证包括领导层在内的所有员工是否获得了足够的培训,能够应对不断演变的网络风险。
应该指出的是,除了从技术方面评估IT基础设施外,网络安全审计还包括审查和采访负责安全、数据保护和IT基础设施的个人。因此,网络安全审计人员应具备良好的软技能,以便能够成功地与各级利益相关者互动。
促进基于风险的审计方法
网络安全风险在企业中无处不在,具有广泛性和压倒性的特点,超出了有效的网络安全审计的范围。网络安全审计团队应该知道从哪里开始评估,在资源有限的情况下尤其如此。这就是基于风险的网络安全审计方法增值的地方。基于风险的审计使审计团队能够根据组织内风险最高的领域对其活动和资源进行优先排序。网络安全审计师必须通过有效的风险评估、持续的风险监控和情景分析等干预措施,为基于风险的审计收集情报。由此产生的数据有助于审计师制定一个系统的、基于风险的审计计划,该计划具有明确的和可实现的目标。然后,可以设计一个一致认可的范围优先考虑风险更大的领域。技术可用于简化风险评估,并对企业范围的网络风险提供实时可见性。例如,网络安全审计人员应该了解组织的关键数据在哪里,还应该了解组织正在使用的整个治理框架,并在必要时通过引入正确的第三方资源提供帮助。
结论
虽然网络安全审计领域是一个相当新的领域,但承担此类审计任务的价值必须得到更普遍的认可。网络安全审计本身具有高度的专业性,因此需要持续改进。对审计流程采取严格、系统的方法对于企业从审计流程中获得最大收益至关重要。这将确保审计结果的交付,使组织能够应对在不断变化的网络环境中遇到的挑战。
编者注:本文首次发表于2022年4月8日ISACA官网News and Trends /Industry News。尾注略。文章内容仅代表作者本人观点。
作者:Elastos Chimwanda, CISA, CIA, CISSP,在内部审计、信息系统审计、网络安全审计和云安全审计方面拥有超过10年的经验。
翻译:唐四宝(Jerry Tang),CISA, CDPSE,CZTP,ISACA微信公众号特邀通讯员。
校对:姚凯(Kevin Yao),CISA,CISM,CRISC,CGEIT,CDPSE,ISACA微信公众号特邀通讯员,关注IT安全,隐私保护和数字化。
声明:本文来自ISACA,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。