Qual è il lavoro di un revisore IT?

5

Sto seguendo corsi di formazione sulla sicurezza delle informazioni, in quanto parte del corso includevano standard di conformità come:

  • PCI DSS
  • ISO 27001-2005
  • Framework Cobit

Quindi, dopo aver cercato su Google, sono venuto a sapere che è per "auditor IT" (correggimi se sbaglio).

In parole povere, qual è il compito di un revisore IT?

    
posta user31079 24.09.2013 - 16:57
fonte

4 risposte

4

Un auditor esamina un'organizzazione per determinare se sembra essere conforme a uno standard o regolamento particolare. Fanno le loro scoperte sulla base di prove, spesso fornite direttamente dall'organizzazione su richiesta del revisore. E sono generalmente indipendenti dalle organizzazioni che controllano.

Nel caso di un controllo di sicurezza, il revisore può cercare prove che l'organizzazione abbia una politica di sicurezza, che la politica sia adeguata per proteggerle secondo lo standard e che l'organizzazione la segua. Tale politica indicherà le pratiche da seguire, come richiedere la revisione del codice. Probabilmente un auditor non eseguirà personalmente una revisione del codice, ma potrebbe cercare una documentazione che dimostri che l'organizzazione fa revisioni del codice. Lo standard può anche richiedere test di penetrazione annuali e esaminerà i documenti prodotti dai tester di penetrazione. Potrebbe anche verificare con la società di test delle penne per accertarsi che l'organizzazione non stia mentendo sull'avere dei pen-test. Se non vede tracce di tale documentazione, scopre che l'organizzazione non è conforme.

Un auditor non può verificare che un'organizzazione sia sicura. Può solo scoprire che un'organizzazione sembra stia cercando di operare in modo sicuro.

    
risposta data 24.09.2013 - 20:01
fonte
3

Per i revisori indipendenti esterni, si prega di ignorare le informazioni di seguito a causa del requisito di indipendenza professionale

Lavoro come revisore IT. Le risposte sopra illustrano che one il compito principale di un revisore IT è la verifica della conformità dei processi IT come attuata dalla direzione dell'azienda. Tuttavia, un altro dovere di un revisore dei conti IT (tradizionale ma può differire tra le aziende), è la valutazione del rischio IT.

In questo senso, IT Auditor funge da consulente per la gestione. Piuttosto che dire alla direzione quali sono le carenze IT, aiuta la direzione a rispondere quali sono i rischi per l'azienda in quanto tali rischi si riferiscono all'IT? Può anche aiutare a spiegare alcune delle misure di sicurezza (controlli) che dovrebbero essere in atto per mitigare tali rischi.

Nel passare da un approccio "compliance focused" all'IT Auditing, le deficienze di conformità sono spesso dovute a un problema più grande, come un tono lassista nei processi IT superiori o inadeguatamente progettati . Mentre lavoro, preferisco strongmente vedere la conformità con le leggi, i regolamenti e le politiche aziendali applicabili, il mio lavoro spesso va oltre il semplice "controllo del box" se qualcosa è conforme. Provo a pensare a me stesso come oltre a far rispettare le regole impostato dalla direzione. I revisori IT e altri professionisti della sicurezza delle informazioni spesso non sono visti come un "valore aggiunto" per la gestione delle aziende, perché sono collegati solo a segnalare ciò che è sbagliato. L'aggiunta di valore tramite soluzioni di brainstorming può anche essere vista come un ruolo di un revisore IT.

    
risposta data 01.01.2018 - 04:36
fonte
2

L'auditor lavora per lo più su interviste basate mentre un pentestore ha un approccio più pratico. Un revisore dei conti IT richiede principalmente ai soggetti controllati di fornirgli determinati risultati. Questi deliverable possono essere documenti che indicano come viene implementato un processo IT, file di configurazione, rapporti di manutenzione per HVAC, .... L'Auditor IT confronterà quindi questo processo IT con uno standard o un file di configurazione con una base di riferimento.

Quindi eseguirà diverse interviste con il personale coinvolto e verificherà se il processo corrispondente è effettivamente rispettato.

Come esempio per l'accesso logico: l'auditor controllerà Joiners / Movers / Leavers. Queste sono persone:

  • che si uniscono all'azienda
  • sposta la posizione che richiede diversi tipi di accesso
  • che lascia l'azienda

Questa è una lista che chiederà al reparto risorse umane. Quindi controllerà un campione se:

  • Il joiner ha ricevuto i diritti necessari per le sue autorizzazioni
  • Il mover ha revocato i suoi vecchi diritti (quindi non può impilare i diritti e entrare in una situazione in cui ha doveri incompatibili)
  • Il leaver ha revocato i suoi diritti

L'auditor controlla principalmente se i processi vengono utilizzati e se vengono seguiti.

    
risposta data 24.09.2013 - 20:19
fonte
1

Un auditor verifica se una soluzione (ad es. applicazione, infrastruttura, ecc.) è conforme a uno standard / legge specificato o meno.

    
risposta data 24.09.2013 - 17:12
fonte

Leggi altre domande sui tag