ISACA Blog | 展望2023系列:IT审计人员五大实用成功秘诀
编者按:我们将推出一个展望2023年的系列报道,为数字信任各领域从业人员提供成功建议。本文将展望审计鉴证人员2023年的成功秘诀。
整体而言,信息技术,特别是网络安全,无疑是最具活力的行业之一。自新冠疫情爆发以来,大多数组织都加快了数字化转型,尤其专注于快速实施的云采用战略。
同时,日益重视网络安全也是大势所趋,不容忽视。大多数公司认为网络安全是一大关键商业风险,并希望安全地建立、维护、运营产品和服务来保护系统和数据。威胁环境不断演变、新漏洞持续涌现,要求从业者不断创新、寻找创造性的方法监测、检测并保护数字资产。加之大量基于网络安全的工具、程序和平台充斥市场,网络安全形势愈发复杂。
然而,众多核心信息安全人员最大的不满之处在于IT审计界一直没能提高技能、适应快速变化的环境。展望2023年,面对当今世界的解耦云原生架构,评估传统IT环境的传统审计方法将不再可行。
重要的是清楚了解各种安全相关流程的实施以及环境中不同平台和服务之间的相互联系,之后确定相关和各自特有的风险。审计人员也必须具有创造能力,要定制测试程序来评估多云环境中的控制,并且有信心解决潜在风险。
IT审计和鉴证专业人员要在以技术转型为特征的2023年成长进步,可以重点关注以下五大关键领域:
©摄图网
01
云原生DevOps
此概念仅仅指对云原生应用的管理,包括在云中运行并使用DevOps原则构建的微服务和容器。用顺序审批检查来自服务管理工具的变更票这样的传统测试策略将不再有效。不同公司有不同的软件工程实践和方法,审计就不可能有一刀切的检查清单。
制定最佳测试策略之前,审计人员必须了解整个流程,包括从知道一行代码如何部署在云中运行的工作负载上,到区分手动和自动部分、找出流程中的控制。虽然工具链中的某些组件可能有所不同,但CI/CD管道主要是基于一个类似的框架建立的,为的是向客户快速发布功能。为了实现这一点,实际部署到生产中的变化可能是完全自动化的,或者由做出改变的开发者发起。因此,检查不相容岗位分离的老办法不再有用,必须找到适当的制衡来确保覆盖了相关的风险。
02
云安全态势管理(CSPM)
这一术语由Gartner首创,指通过识别、帮助缓解云配置错误,实现安全自动化并提供合规性保证的安全解决方案。随着企业继续依赖和利用这些工具来改善其安全和合规状况,云安全态势管理的市场正在高速增长。
很多CSPM供应商都提供兼具多种功能的整套解决方案。审计人员需要了解CSPM工具的具体目的和功能,以及它们在云环境中是如何设置的。审计的重要考虑因素应包括查看云中哪些元素被监控,数据如何从源头摄取到CSPM,以及如何处理工具识别出的风险和警报。通常情况下,自动和手动控制的组合可用于有效评估CSPM的使用情况。
©摄图网
03
隐私工程
隐私不再是可有可无、锦上添花的装饰品——随着全球各地加强隐私立法,公司必须想办法将隐私实践纳入日常运作以实现合规性。隐私工程是公司内部的一项新兴职能,指由来自产品管理、工程、法律和GRC的专业人员组成的跨职能小组,任务是通过设计原则实现隐私,并将适用法律法规的隐私要求纳入产品或服务。这些都是通过包括数据隔离、多租户和自动化在内的技术组合实现的。
从审计角度看来,评估隐私合规性一直是极具挑战性的命题。一些关键的要求,如数据最小化、跟踪同意和处理数据主体请求,理论上可能很容易解释遵循,实践中却难以实施测试。如果使用程序化的方法,包括隐私即代码和自动化概念,就可以省时省力地推动保障隐私。审计人员应遵循各种强制性的实施机制,并制定适当的测试步骤以确保满足相关的隐私原则。
04
漏洞管理
广义上的漏洞管理指识别、评估、管理和报告整个IT环境中安全漏洞的持续过程。漏洞管理不仅是安全项目的基础构成部分,也是大多数控制框架和标准中的一大要求(包括但不限于NIST800-53、SOC 2、CMMC和ISO 27001)。然而,这一话题在IT审计人员培训计划中几乎没有提及,业内也不常讨论。IT审计人员往往不清楚应该关注哪些属性、评估哪些证据。
除了典型的网络和基础设施层面的漏洞扫描和定期渗透测试外,拥有成熟的漏洞计划的公司还采用静态和动态应用程序扫描、bug赏金和红队等其他多种技术来发现系统漏洞。了解每种漏洞扫描类型的范围,并确保所有可能的环境(云和内部)都被完全包括、充分评估非常重要。此外,了解如何在评估、优先级和修复过程中处理所发现的漏洞,并确定时间表也非常重要。审计的考虑必须包括对漏洞进行风险排序的步骤,记录和跟踪报告,以及在规定的服务等级协议内的决议。
©摄图网
05
情绪智力 (EI)
目前很多有记载的案例都表明一个优秀的审计(和网络安全)专业人员不仅需要扎实的技术能力,而且同样需要良好的沟通和建立关系等软技能,这一点也已得到广泛认同。
其中需要有意识地培养的一项关键技能就是情绪智力。这个行业的从业人员必须头脑清醒、敏锐警觉,才能有逻辑地思考,并展现出专业的怀疑精神。我非常赞同弗吉尼亚联邦大学一项题为“情绪智力对审计人员判断的影响”的研究。研究认为,情绪智力是处理审计期间面对的情绪和压力(客户、时间和预算压力)的关键因素。研究还发现情绪智力与审计人员的判断显著相关。培养强烈的自我意识和调节自己对各种情况的反应以避免倦怠或其他负面反应非常重要。在这里我不会提供具体资源教你如何提高情绪智力(因为不同的人需要不同的方法),但我还是要再次强调情绪智力是一个人必须努力改进、不断提高的关键能力。
多项研究都表明网络安全是高管们一致认同的头号热门话题。当前的地缘政治环境下,坏人企图利用网络威胁的强大力量打击经济、造成灾难性的影响。各组织常年持续创新、不断转型,从而保持竞争力和韧性,他们希望合规性和审计专业人员能够确保他们的风险得到充分管理、且符合适用的法规标准。因此,培养一种持续学习的文化非常重要——你可以选择关注一个喜欢的博客、播客或与你感兴趣的主题相关的通讯文章,并养成跟踪最新发展的习惯,从而提高对不断变化的网络安全和IT审计动态的认识和理解。
“21 世纪的文盲将不是那些不会读写的人,而是那些不会学习、摒弃已学、再次学习的人。”——阿尔文·托夫勒
ISACA Blog | 如何在内部审计部门内建立数据科学团队
作者:Varun Prasad, 美国立信第三方认证高级经理