趋势与观点 | 如何避免IT审计结果的历史重演

尽管不同组织对“IT 审计”一词基于行业要求及其适用框架的定义可能不同,但此类审计的结果通常是可预测的。无论审计结果被命名为什么(例如,建议、缺陷、弱点、例外、偏差、控制差距),它们通常是一致的。并且在大多数情况下,(审计)结果甚至会在同一实体,年复一年地重复发生。有限的资源——包括资本和人力——通常是导致审计结果不尽如人意的罪魁祸首。因此,我们需要研究一些典型的 IT 审计结果,并就如何防止将来发生异常提供建议。

我竟然还可以访问?

IT审计中发现的主要缺陷与仍然可以访问系统(或网站)的独立用户有关。将活跃用户帐户与人力资源 部门(HR) 提供的离职(或转岗)员工列表进行比较,可以快速确定可能遗漏的用户访问更改。定期执行有效的用户访问控制审查还可以帮助检测应该被删除的未经授权的访问,并建议对系统或网站应该进行的设计更改(即采用最低权限策略)。组织可能会试图争辩说,99.4% 的时间内安全有保障是值得庆祝的,虽然大多数人不会不同意,但重要的是要记住,只要有一个人可以不受限制地访问数据和系统,就可以使安全措施失效。

教育,教育,再教育

在审计过程中可能会发现另一个可能对其他领域(包括网络责任保险)产生深远影响的控制措施,是缺乏对员工的网络安全意识培训。我们可能很难识别网络安全意识培训计划是否有效,但为员工举办定期(即每月、每季度、每年)培训网络研讨会或演讲是针对IT审计这一领域重复评价的有效缓解策略。在网络责任保险声明中,大多数在违规调查期间发现员工缺乏网络安全意识培训的保险公司最终会以此类疏忽为由而拒绝理赔。 这不是法律建议,但是,企业必须尽自己的一份力量来教育员工在IT使用中的允许与不允许事项。

外包责任

有效的供应商管理是组织在IT控制方面的另一个弱点——这点很重要,因为全球的企业越来越多地使用外包服务来协助日常运营和信息安全。这种弱点通常归因于与合同服务一起外包的责任。不幸的是,组织通常的心态是“设置它并忘记它”,甚至于,“这就是我们聘请供应商做的事情”。

有效的供应商管理可以通过在供应商最终入场前对其进行风险评估来实现,其中可能包括审查安全或控制相关报告(例如,IS 审计报告、安全运营中心 [SOC] 报告、漏洞评估 [VA]、渗透 [ pen] 测试报告)和/或对供应商提供的服务以及运营情况的持续讨论。发生违规事件后,组织不想看到的是,他们的第三方供应商由住在自家地下室的一个人组成,几乎没有物理或技术控制。一些必要的行动包括:

  • 确认供应商是否对员工进行背景调查

  • 了解供应商是否有可靠的 IT 控制措施来防止未经授权的访问

  • 了解供应商是否主动响应安全问题和事件

此类问题应定期处理,并持续讨论应采取的行动。

关注其它缺陷

上述每个因素都非常复杂,值得单独撰文讨论,它们为了解 IT审计期间常见的控制缺陷提供了一个很好的起点。组织文化和高层基调在定期彻底解决缺陷方面发挥着作用。缺乏管理层支持或文化缺失很容易被发现,并且在整个组织范围出现问题。

常见的缺陷包括:

  • 缺乏用于远程访问系统和网站的多因素身份验证 (MFA) ——在每一个机会中使用MFA将很快成为必须,而不是最佳实践。大多数软件应用程序和网站都具有可以激活的MFA设置,但如果没有,通常可以将支持MFA的第三方软件应用程序添加到系统中。

  • 数据不定期备份或加密——应创建与正常业务操作一致的持续备份计划,并应在所有设备和网络中使用加密。备份也应该位于与原始数据不同的位置。

  • 事件响应和灾难恢复计划不充分或未经测试——虽然制定计划很重要,但利益相关者必须确保通过定期(或在关键人员或系统发生变化时)桌面演练或执行实时恢复对计划进行测试。

  • 缺乏有关信息安全和技术的所有活动和实践的书面政策和程序——形成文件的安全政策确保组织关于应该采取哪些 IT 和安全措施可参考的一致事实。一套指导方针可帮助每个人重回正轨,尤其是在雇用新员工或发生安全事件时。

  • 有关凭据和密码强化(例如,Active Directory)的参数或策略不足——遵循强密码策略(即,根据长度和复杂性最佳实践)会使威胁参与者更难猜测密码或进行暴力攻击。

  • 缺乏内部漏洞扫描或外部渗透测试——利用专家和软件定期测试网络是否存在未修补的威胁或安全边界内可能被威胁者利用的未知漏洞。

结论

找到正确的框架来实施适当的IT控制可能具有挑战性。然而,已有的几个相关的框架,例如COBIT®,它们非常全面,并遵循系统模式实现适当的控制。尽管一些框架可能具有不同的重点领域,强调控制的不同方面,但所有框架都试图通过相关风险评估 IT 资产并确定优先级、设计和实施适当且具有成本效益的缓解策略,来帮助企业了解如何投入时间和资源。

编者注:本文首次发表于2022年6月15日ISACA官网News and Trends /Industry News。文章内容仅代表作者本人观点。
作者:Paul M. Perry, CISM, CDPSE, CITP, CPA,是 Warren Averett CPA and Advisors 安全、风险和控制小组的成员和业务负责人。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。