澳门赌场官方软件正在进入一个新时代,重新发明澳门赌场官方软件曾经的工作方式. 2020年前似乎是很久以前的事了, 不仅组织在加速采用云计算, 作为实践者,澳门赌场官方软件正在重新审视自己的职业和技能.
去年的这个时候,我发现自己正在形成一个关于如何审计澳门赌场官方软件组织的云战略的战略, 关键过程, 和控制. 我很快意识到我需要周五的早晨, 咖啡, 以及一群和我一样渴望实现这个目标的人.
澳门赌场官方软件阅读了无数的文章和期刊,并举行了头脑风暴会议, 澳门赌场官方软件知道澳门赌场官方软件必须给被审核方和澳门赌场官方软件自己定义价值. 作为一个结果, 我将分享一种方法,它可能会帮助你制定战略,如何审计你的组织中的云应用:
第一步:凝聚兴趣,培养人才. 如果你没有一个团队正在朝着云能力的方向发展, 然后你要花时间和精力去说服别人, 过度规划和执行. Upskilling是必要的 不管你在你的团队中有多少年的实际IT经验. 考虑对公司中那些渴望或感兴趣的人的奖励和激励. 寻找并雇佣那些已经具备这些技能的人来鼓励和带动其他人. 创建一个激动人心的平台,并将对云技术的期望融入到工作描述中. 这些概念不仅适用于澳门赌场官方软件,也适用于澳门赌场官方软件将要审计的人.
步骤2:确定云活动存在的位置. 就像今天在组织中识别硬件和软件资产的挑战一样, 找出云活动存在的位置是有效加强组织处理潜在安全风险和隐私问题的关键. 识别活动的方法包括独立扫描, 标签和跟踪发票和退款给云服务提供商, 以及/或云注册表的维护和验证.
步骤3:随着云成熟度的发展,主动识别风险. 了解组织中云应用程序或软件的位置之后, 考虑您希望如何识别关键风险和审计控制. 虽然你最初列出的关键风险可能涉及到安全控制或弹性等常见项目, 在您理解当前事态之前,它们可能还没有准备好接受您的审查. 成熟度评估可能是正确的起点.
成熟度评估的元素应该与当前存在的关键风险保持一致. 例如, 您可能想了解如何在新的云环境中分配和管理个人和组访问, 但这些团体政策只是讨论,还没有制定. 这是与被审核方合作的最佳时机?
考虑如何设置持续开发、集成和测试流程. 请记住,在过去的十多年里,澳门赌场官方软件的审计工作是将开发人员排除在产品之外? 现在的过程不同了, 尽管职责隔离仍然很重要, 它看起来和以前不一样了. 更改是实时部署的,自动化控制已经取代了以前在审计中使用的“等待某人登录以批准”方法.
随着您的组织成熟其云使用,相应地更新和增强您的审计覆盖率. 在“由审计驱动”过去的时间点上进行连续审计是必要的. 要成为一名有效的审计人员,需要持续的对话和固定的席位.
第四步:保持冷静,调整风帆. 你的云审计会按计划进行吗? 不. 预料到这一点,并计划包括时间缓冲,并允许优雅的学习和发展. 不仅是连续的, 敏捷审计必要, 这是至关重要的,以你的目标为中心,并迅速将其转换为一个新出现的风险.
审计云环境中的演进过程需要耐心, 谦逊和学习的心态. 成长的烦恼. 制定一个多年策略可能是你实现目标、发展自己的审计技术和知识储备的最佳选择.
记住,就像生活一样,云计算的采用速度很快. 如果你不偶尔停下来看看周围,你可能会错过它.
作者附言: 这些观点是我个人的观点,并不代表芝加哥联邦储备银行.
编者按: 了解更多关于云审计的知识 云审计知识证书(CCAK),云安全联盟和ISACA证书.
