ISACA Blog | 云计算五大审计挑战及应对方案
虽然云计算提供了诸多益处,但也并非没有挑战。之前的文章讨论了云计算基础,这篇文章则将重点讨论如何解决关键的审计挑战。
Flexera的《2022年云计算状态报告》显示,云计算的首要挑战是安全。过去11年的《云计算状态报告》中,有10年的受访者都认为安全是头号挑战。为什么呢?
云环境中的安全与威胁
采用云技术之前,来自部分设备和网络的访问会受到限制,企业纳入防御层以保护内部应用与数据,并依靠已知和可管理的安全边界来防止未经授权的访问。云技术则没那么容易控制。理论上任何用户和任何设备都可以访问云,控制数据访问可能难度不小。云中可能没有明确的安全边界,第三方供应商在管理用户数据时,用户与云数据互动的工具和可见性都相当有限。
因此,云中的威胁与传统IT环境中的威胁很不一样。攻击者的目标不是设备,而是用户,通过窃取用户的登录凭证访问云计算平台。在传统的IT环境下,有专门的安全人员监控本地网络的后门,防止未经授权的访问。在云环境中,有必要监控云计算应用的后门,组织的IT团队对后门的控制程度较低,也不太容易给予关注。
©摄图网
云计算审计:五大首要挑战
我们刚刚讨论了云计算与传统IT的不同之处以及当下的威胁,那么企业面临的首要审计挑战是什么?
1. 您能否确定云的利用率?您的IT团队能否确定目前正在使用哪些云计算解决方案?是否有授权使用另外云计算平台的程序?确认云计算的使用情况非常重要,能够帮助您了解与您的云环境相关的云计算风险,通过确保适当的控制措施实施到位并有效运作来减小风险。
2. 如何控制和监测用户的访问?用户在云中访问、存储和传输什么类型的信息?使用什么制衡方式来管理用户可以访问的信息类型?您是否根据每个用户的工作职能来管理他们的角色和权限?最小权限在云中和在传统的IT环境中同等重要,组织应该利用最小权限保障用户各司其职、互不干扰。
3. 您是否控制访问设备的安全?您是否允许员工使用各自的设备访问云平台?有什么针对个人和公司发放的设备的安全措施来降低攻击的风险?
4. 您是否有审计权?组织与云服务供应商的合同是否有条款明确规定审计权?越大的云供应商就越不可能同意这样的条款,所以您需要了解您的权利并要求访问云供应商的系统和组织控制(SOC)报告,确认足够的控制措施已经落实到位并有效运行,确保自己的数据安全,这一点非常重要。
5. 您的审计团队是否具备审计云的能力?审计团队必须拥有足够的技能和专业知识才能审计和监督云。因此ISACA与云安全联盟CSA联合推出云计算审计知识证书(CCAK),其中包括基于风险的云迁移和审计策略。
©摄图网
为了确保组织选择安全的云平台,您的内部审计部门应该参与云解决方案的采购、设计和采用。您可以考虑使用云安全联盟控制矩阵和共识评估计划问卷(CAIQ)确定与您的云计算环境相关的风险和控制。您也可以使用互联的风险软件来管理控制措施,这种方式非常保险,令人放心。
云计算是大多数组织的重要资源,虽然云计算带来了一定风险,但内部审计团队可以做很多事情来限制风险。通过解决本文阐述的审计挑战,您的组织将在尽可能小的风险下享受云、拥抱云。
编者注:本文于2022年9月30日首次发表 于ISACA官网ISACA Now Blog。文章内容仅代表作者本人观点。
作者:Kim Pham, CIA, AuditBoard市场顾问