2023年审计专业人员的五个可操作的成功提示

Varun普拉萨德
Author: Varun普拉萨德, CISA, CISM, CCSK, CIPM, PMP
发表日期: 12月5日

编者按: ISACA Now博客提供了一个为期一周的系列,为各个数字信任领域的从业者提供2023年的成功秘诀. 今天,我们首先展望2023年的审计和鉴证专业人员.

资讯科技概览, 特别是网络安全学科, 无疑是最有活力的职业之一吗. 最近, 自COVID-19大流行生效以来, 大多数组织都加快了他们的数字化转型之旅, 特别关注快速实现的云采用策略.

并行, 网络安全日益受到重视是一个不容忽视的明显趋势.  大多数公司认为网络安全是一个关键的业务风险,并寻求建立, 以安全的方式维护或操作产品和服务,以保护其系统和数据. 快速发展的威胁形势和新发现的漏洞数量的增加要求从业者不断创新并寻找创造性的监控方法, 检测和保护我们的数字资产. 为了增加复杂性, 我们有一个拥挤的市场,充斥着大量基于网络安全的工具, 实用程序和平台.

然而, 对于许多核心信息安全专业人员来说,最大的不满是IT审计澳门赌场官方下载未能跟上这个快速变化的环境,并且尚未完全提高技能和适应. 展望2023年, 用于评估遗留IT环境的传统审计方法对于当今世界的解耦云原生架构已经没有意义了.

清楚地理解各种安全相关流程的实现以及环境和服务中不同平台和服务之间的互连非常重要, 随后, 识别相关的和独特的风险. 审计人员, too, 必须具有创造性和量身定制的测试程序,以评估多云环境中的控制,并获得对潜在风险得到解决的信心.

以下是IT审计和保证专业人员能够在2023年这个技术变革时代蓬勃发展和进步的五个关键领域: 

1. 云原生开发
这个概念只是指对云原生应用程序的管理, 包括运行在云中并使用DevOps原则构建的微服务和容器. 使用一组顺序批准检查来自服务管理工具的变更票据的熟悉的测试策略将不再有效. 公司构建软件工程实践和方法的方式是不同的,不可能为审计人员创建一个通用的检查表.

在设计最佳测试策略之前, 审核员必须了解整个流程, 从如何在云中运行的工作负载上部署一行代码开始, 叫出哪些是手动的,哪些是自动的, 并发现流中内置的控制. 尽管工具链中的各个组件可能会有所不同, CI/CD管道在很大程度上是基于类似的框架构建的,以促进以高速度向客户发布特性. 进一步实现这一点, 将更改实际部署到生产环境中可以完全自动化,或者由做出更改的开发人员发起. 因此, 测试职责分离的旧方法将不正确,必须寻找适当的检查和平衡,以确保涵盖相关风险.

2. 云安全态势管理(CSPM)
Gartner首先引入这个术语来描述一类安全解决方案,这些解决方案通过识别和帮助修复云中的错误配置来自动化安全并提供合规性保证. 随着组织继续依赖和利用这些工具来改进其安全性和遵从性状态,这个市场空间正在以强劲的速度增长.

有无数的CSPM供应商提供一系列具有各种功能的解决方案. 审计人员需要了解CSPM工具的特定目的和功能,以及如何在云环境中设置它们. 重要的审计考虑应该包括查看云中的哪些元素被监视, 如何将数据从源摄取到CSPM,以及如何处理工具识别的风险和警报. 通常, 自动和手动控制的混合可以用来有效地评估CSPMs的使用.

3. 隐私工程
隐私不再是可有可无的, 随着世界各地隐私法规的增加,拥有属性很好, 公司必须在日常运营中整合隐私实践,以实现合规. 隐私工程 公司内部的新兴职能是什么, 本质上, 指由产品管理专业人员组成的跨职能团队, 工程, 他们的任务是通过设计原则实现隐私,并将适用法律法规的隐私要求融入产品或服务中. 这些是通过包括数据隔离在内的多种技术组合实现的, 多租户和自动化.

从审计的角度来看,评估隐私遵从性一直是一个具有挑战性的命题.  一些关键的要求, 比如数据最小化, 追踪同意及处理资料当事人的要求, 可能在理论上很容易解释和遵循,但在实践中很难实施和测试. 使用程序化的方法, 包括隐私即代码和自动化概念, 隐私保护可以以一种高效和经济的方式展开. 审核员应遵循各项强制性规定的实施机制,并制定适当的测试步骤,以确保符合相关的私隐原则.   

4. 脆弱性管理
漏洞管理被广泛地定义为正在进行的识别过程, 评估, 管理和报告IT环境中的安全漏洞. 这不仅是安全程序的基础构建块,也是大多数控制框架和标准(包括但不限于NIST800-53)的要求, SOC 2, CMMC和 ISO 27001). Yet, 这个话题在IT审核员培训计划中很少或根本没有提及,也不经常被讨论. IT审计人员通常不清楚应该关注哪些属性,以及应该真正评估哪些证据.

除了典型的网络和基础设施级漏洞扫描和定期渗透测试之外, 拥有成熟漏洞程序的公司采用多种其他技术,如静态和动态应用程序扫描, Bug赏金和红队发现系统漏洞. 重要的是要了解每种漏洞扫描类型的范围,并确保充分包括和评估所有可能的环境(云和本地). 进一步, 从评估的角度理解如何处理已识别的漏洞是很重要的, 根据已定义的时间表对流程进行优先级排序和修复. 审计考虑必须包括对漏洞进行风险排序的步骤, logging, 并在已定义的SLA内跟踪报告和解决方案.   

5. 情商(EI)
到目前为止,一个强大的审计(和网络安全)专业人员不仅需要扎实的技术技能,还需要良好的软技能,如沟通和建立关系,这一点已经得到了广泛的记录和充分的理解. 需要有意识地培养的一个关键技能是情商. 干这行, 一个人必须有一个新鲜和警觉的头脑,能够进行逻辑思考,并表现出专业的怀疑. 弗吉尼亚联邦大学的一项流行研究题为 “情商对审计师判断的影响”, 是与我密切相关并引起我共鸣的东西吗. 本文认为,情商是处理情绪和压力的关键因素, 审计期间经历的时间和预算压力. 进一步, 该研究考察了EI对审计师判断的调节作用,并发现了很强的相关性. 重要的是要培养强烈的自我意识和适度的反应,以避免倦怠或其他负面反应. 我不会提供一个人应该如何提高他们的情商的具体资源(因为不同的技术适用于不同的人),但我强调它是一个人必须努力并不断提高的关键能力. 

在各种研究中,网络安全被高管们确定为头号热门话题. 在当前的地缘政治气候下, 不法分子正试图利用网络威胁作为削弱经济并造成灾难性影响的强大力量. 组织不断创新和转型,以保持竞争力和弹性, 并期待合规和审计专业人员提供保证,确保风险得到充分管理,并符合适用的法规和标准. 因此, 培养一种持续学习的文化是很重要的——选择一个最喜欢的博客, 播客或时事通讯,与您感兴趣的主题相关,并灌输跟上内容的习惯,以提高您对网络安全和IT审计中不断变化的动态的认识和理解.

“21世纪的文盲st 世纪不会是那些不会读书写字的人, 但那些不会学习的人, unlearn, 和重新学习.——阿尔文·托夫勒