首页 / 资源 / 新闻和趋势 / ISACA现在博客 / 2021 / 云审计101如何开始

ISACA现在博客

云审计101:如何开始?

作者: Stephanie Urban, CISA, PMP, AWS云从业者|芝加哥联邦储备银行
发表日期: 2021年9月3

澳门赌场官方软件正在进入一个全新的时代,重新创造澳门赌场官方软件曾经的工作方式. 2020年前似乎是一辈子以前的事了, 不仅仅是澳门赌场官方下载在加速采用云计算, 作为从业者,澳门赌场官方软件正在重新审视自己的职业和技能.

去年这个时候,我发现自己形成了一个关于如何审计澳门赌场官方软件组织的云策略的策略, 关键过程, 和控制. 我很快意识到我需要周五的早晨, 咖啡, 还有一群和我一样渴望实现这一切的人.

当澳门赌场官方软件阅读无数的文章和期刊,并举行头脑风暴会议时, 澳门赌场官方软件知道澳门赌场官方软件必须为被审核者和澳门赌场官方软件自己定义价值. 作为一个结果, 我将分享一种方法,它可以帮助您制定如何在您的组织中审计云应用的策略:

第一步:聚集兴趣,培养人才. 如果你没有一个团队的人正在奔向云能力, 然后你要花精力和时间去说服别人, 过度计划和执行. Upskilling是必要的 无论您的团队中有多少年的IT实践经验. 考虑对组织中那些渴望或感兴趣的人的奖励和激励. 寻找并雇佣那些已经拥有这些技能的人来鼓励和带领其他人. 创建一个燃烧的平台,把对云技术的期望融入到工作描述中. 这些概念不仅适用于澳门赌场官方软件,也适用于澳门赌场官方软件将要审计的对象.

步骤2:确定哪里存在云活动. 就像今天组织中识别硬件和软件资产的挑战一样, 找出云活动存在的地方是有效加强组织处理潜在安全风险和隐私问题的关键. 识别活动的方法可以包括独立扫描, 标记和跟踪发票和退款给云服务提供商, 和/或云注册表的维护和验证.

步骤3:随着云成熟度的发展,主动识别风险. 在您知道云应用程序或软件在组织中的位置之后, 考虑您希望如何识别关键风险和审计控制. 而最初列出的主要风险可能涉及安全控制或弹性等常用项目, 在你了解当前的情况之前,他们可能还没有准备好接受你的审查. 成熟度评估可能是正确的起点.

成熟度评估的元素应该与当前存在的关键风险保持一致. 例如, 您可能想了解在新的云环境中如何分配和管理个人和组访问, 但这些团体政策只是在讨论中,还没有制定出来. 这是与被审核者合作的最佳时机?

考虑如何设置持续开发、集成和测试过程. 请记住,十多年来,澳门赌场官方软件的审计工作是防止开发人员进入生产环境? 现在的过程不同了, 虽然职责隔离仍然很重要, 它看起来和以前不一样了. 更改是实时部署的,自动化控制已经取代了以前在审计中使用的“等待直到有人登录来批准”方法.

随着您的组织的云使用日趋成熟,请相应地更新和增强您的审计覆盖范围. 在过去的“审计驱动”时间点上,连续审计是必要的. 作为一名有效的审计师,需要始终如一的对话和固定的座位.

第四步:保持冷静,调整船帆. 你的云审计会按计划进行吗? 不. 期待这一点,并计划包括时间缓冲,并为学习和发展留出余地. 不仅是连续的, 敏捷审计必要, 关键是要围绕你的目标,并迅速将其转换为一个正在出现的风险.

审计云环境中的演进过程需要耐心, 谦逊和学习的心态. 有成长的烦恼. 设置一个多年的策略可能是实现目标和发展自己的审计技术和知识库的最佳选择.

记住,就像生活一样,采用云计算的速度很快. 如果你不偶尔停下来四处看看,你就会错过它.

作者附言: 这些只是我个人的观点,并不代表芝加哥联邦储备银行.

编者按: 了解更多关于云审计提升技能的信息 云审计知识证书(CCAK),云安全联盟和ISACA证书.

ISACA现在的年份

2021
复选标记

2020
复选标记

2019
复选标记

2018
复选标记

2017
复选标记