充分覆盖您的IT审计领域是否感到畏缩? 有一个解决方案,拥抱数据!
“通过使用数据分析提高审计的效率和有效性”. 这种内部审计的咒语让人感到厌倦, 老, 就像10-15年前我开始听到这个词时一样含糊. 这并不是说很多组织没有成功, 数据驱动审计程序, 他们绝对有. 然而, 在将数据驱动审计用于经典it审计领域时,我仍然看到了一个显著的差距. (e.g. 信息安全治理, 接入和认证管理, 补丁管理, 脆弱性管理, 资产管理, 配置管理).
对于没有专门的IT审计人员的中小型组织来说,这一挑战尤其令人生畏. 诚实, 在今天的环境中,要有效地覆盖it相关的风险是完全不可能的, 即使只有少量的IT审计人员. 让我来介绍一下这个IT审计难题的潜在解决方案:数据分析!
您可能没有意识到,IT或Security执行的流程的正常输出中有大量数据可用 & 合规团队. 这些数据通常由技术团队执行扫描产生,以便告知他们潜在的安全问题或操作优先级. 然而, 用正确的分析技术, 这些数据可以用于有效地“审计”组织中的许多核心安全和操作IT流程. 通常, 一个小型或中型组织可以通过一次审计评估获得足够的IT审计覆盖率! 为了确保独立性,您还可以运行自己的扫描并分析输出.
在去年Clearview, 我们通常使用互联网安全中心(CIS)的前20个控件来进行评估. 虽然独联体前20名控制有一个安全重点, 操作IT审计活动本质上包括(e.g. 补丁管理、配置管理). 这是最大限度地扩大IT审计范围的橡胶遇到道路的地方. (见下图A)
图一个
数据驱动,技术测试提供了不同程度的覆盖前6个CIS控制. 传统的演练和有限的基于控制的测试可以提供足够的覆盖额外的14个CIS控制. 再一次, 这对于基于效率的中小型组织尤其有用, 广泛的覆盖面. 这种方法还可以为任何规模的组织创建执行IT审计计划的效率.
下面是最后一个来自客户端的例子,说明数据驱动审计如何有效地评估补丁管理过程: “您的测试表明,在我的环境中,补丁没有得到一致的应用, 那么为什么我们还要走完当前的过程呢? 让我们找出问题所在并加以解决!”
我同意,为什么不从数据开始呢?
万博平台app下载,让我们帮助您开始将您的资源集中于一个更高效和有效的内部审计过程. http://www.4ugod.com