È corretto considerare gli audit esclusivamente come "detective" in natura?

4

Sto studiando per l'esame CISSP e uno dei punti delle videomessaggi non ha avuto senso per me. L'istruttore stava discutendo le aree di amministrazione del controllo degli accessi e ha iniziato a classificare alcune cose come "preventive" e "detective". Ad esempio, la crittografia dei dati: preventiva ... verifica dell'integrità dei dati: detective ... sistemi di alimentazione di backup: preventivo ... formazione degli utenti: preventiva e investigativa ....

Quando l'argomento arrivava agli audit, li etichettava come "detective". In una certa misura, capisco perché questo sarebbe in questo modo - dal momento che stiamo cercando vulnerabilità, se li troviamo ... li stiamo rilevando.

Allo stesso tempo però, non posso fare a meno di chiedermi se gli audit possano anche essere considerati di natura preventiva - perché stiamo cercando le vulnerabilità in anticipo nel tentativo di impedire che vengano sfruttate in un secondo momento.

Quali sono i tuoi pensieri? Forse sto pensando troppo a questo?

    
posta Mike B 05.05.2011 - 02:37
fonte

2 risposte

8

Proprio come la ricorsione, per comprendere correttamente i controlli dobbiamo prima capire l'ambito e l'utilizzo degli audit. Gli audit vengono utilizzati per determinare la conformità rispetto a un benchmark. Senza detto benchmark, l'auditor non ha nulla contro cui misurare. In alcuni casi il tuo benchmark potrebbe essere un documento profondamente tecnico che descrive le pratiche di programmazione o le configurazioni del sistema operativo. In altri casi il tuo benchmark potrebbe essere sciolto come "segui le best practice come determinato da $ RANDOM_DEPT".

Pensandoci in questa luce, usando le tue etichette, gli audit dovrebbero essere classificati rigorosamente come "investigatori". Quindi, questo significa che le misure "preventive" sarebbero i parametri di riferimento / gli standard / le politiche / qualsiasi altra cosa.

Considera quanto segue:

In order to avoid unauthorized access by ex-employees all accounts are disabled upon separation.

In questo scenario la politica per disabilitare gli account è la tua misura preventiva. Durante il corso di un audit, il revisore cercherà di determinare se la politica è seguita o meno.

    
risposta data 05.05.2011 - 05:22
fonte
5

Gli audit vengono in genere utilizzati per il rilevamento: rilevamento dei problemi. I controlli tipicamente forniscono prevenzione: prevenzione delle intrusioni.

Tuttavia, è possibile utilizzare gli audit per non solo rilevare le intrusioni. È inoltre possibile utilizzare il controllo per rilevare problemi o carenze nei controlli (ad es. Verifiche di conformità, verifiche della configurazione di rete) e / o per rilevare vulnerabilità (ad esempio, test delle penne, revisione del codice sorgente).

Di conseguenza, gli audit possono essere utili per migliorare i controlli e le difese del sistema. Gli audit possono far parte del ciclo di feedback che utilizzi per migliorare le protezioni e i controlli che hai implementato. Pertanto, gli audit possono aiutare a migliorare la capacità di prevenire intrusioni future, poiché possono aiutare a determinare se i controlli sono implementati in modo coerente e corretto e se i controlli funzionano in modo efficace e, in caso contrario, indicare dove sono i problemi in modo da poter modi per migliorare i tuoi controlli. In altre parole: gli audit possono aiutarti a migliorare i controlli, migliorando la tua capacità di prevenire i problemi.

È questo che stai chiedendo?

    
risposta data 05.05.2011 - 07:42
fonte

Leggi altre domande sui tag