隨著國家經(jīng)濟的高速發(fā)展和戰(zhàn)略部署，加快了企業(yè)數(shù)字化轉(zhuǎn)型的腳步，網(wǎng)絡(luò)信息安全也愈發(fā)受到重視，亟需從業(yè)者不斷創(chuàng)新、尋找創(chuàng)造性的方法監(jiān)測、檢測并保護數(shù)字資產(chǎn)。面對世界形勢式的風(fēng)云變幻，傳統(tǒng)的IT審計方法將不再可行，審計人員需要具備創(chuàng)新能力，定制測試程序評估多云環(huán)境的控制，并積極解決潛在的風(fēng)險。

IT審計師需在技術(shù)方面持續(xù)進步，可重點關(guān)注以下五大關(guān)鍵領(lǐng)域：

一、云安全態(tài)勢管理（CSPM）

這一專業(yè)術(shù)語是由Gartner首次提出，指通過識別、幫助緩解云配置錯誤，實現(xiàn)安全管理自動化，并提供合規(guī)性保證的安全解決方案。企業(yè)持續(xù)依賴和利用這些工具來改善安全和合規(guī)狀況，使得云安全態(tài)勢管理的市場也在高速增長。

很多CSPM供應(yīng)商都提供兼具多種功能的全套解決方案。審計人員需要了解CSPM工具的具體功能，以及它們在云環(huán)境中是如何進行設(shè)置的。審計的重要考慮因素為：(1)查看云中哪些元素被監(jiān)控。(2)數(shù)據(jù)如何從源頭攝取到CSPM。(3)如何處理識別出的風(fēng)險和警報。一般情況下，自動和手動控制相結(jié)合的方式可用于有效評估CSPM的使用情況。

二、云原生DevOps

這一概念僅是指對云原生應(yīng)用的管理，包括在云中運行并使用DevOps原則構(gòu)建的微服務(wù)和容器。一般傳統(tǒng)的測試策略將不再有效。由于不同公司有不同的工作實踐和方法，審計工作就不能采用一刀切的方法。

審計人員在制定最佳測試策略之前需要了解整個流程，包括從知道一行代碼如何部署在云中運行的工作負載上，到區(qū)分手動和自動部分、找出流程中的控制。雖然工具鏈中的某些組件可能有所不同，但CI/CD管道主要是基于一個類似的框架建立的，為的是向客戶快速發(fā)布功能。為了實現(xiàn)這一點，實際部署到生產(chǎn)中的變化可能是完全自動化的，或者由做出改變的開發(fā)者發(fā)起。因此，檢查不相容崗位分離的老辦法不再有用，必須找到適當(dāng)?shù)闹坪鈦泶_保覆蓋了相關(guān)的風(fēng)險。

三、漏洞管理

漏洞管理通常是指識別、評估、管理和報告整個IT環(huán)境中安全漏洞的持續(xù)過程。漏洞管理不單單是安全項目的基礎(chǔ)構(gòu)成部分，也是大多數(shù)控制框架和標(biāo)準(zhǔn)中的一大要求。然而，這一話題在業(yè)內(nèi)不常被討論，IT審計師的培訓(xùn)過程中也很少被提及，使得IT審計人員不清楚應(yīng)該關(guān)注哪些屬性、評估哪些證據(jù)。

企業(yè)需要進行網(wǎng)絡(luò)和基礎(chǔ)設(shè)施層面的漏洞掃描以及定期滲透測試，一些具有成熟漏洞計劃的公司還會采用其它多種技術(shù)來發(fā)現(xiàn)系統(tǒng)漏洞，如靜態(tài)和動態(tài)應(yīng)用程序掃描、bug賞金和紅隊等了解各種漏洞掃描類型的范圍，同時還需確保所有可能的環(huán)境是否被完全包括以及充分評估。除此之外，如何處理所發(fā)現(xiàn)的漏洞，并確定時間表也是同樣重要。審計的考慮必須包括對漏洞進行風(fēng)險排序的步驟，記錄和跟蹤報告，以及在規(guī)定的服務(wù)等級協(xié)議內(nèi)的決議。

四、隱私工程

隨著全球各地對隱私方面的重視，公司也需將隱私實踐納入到日常運作中以實現(xiàn)合規(guī)性。隱私工程是企業(yè)內(nèi)部新興的一項職能，指由來自產(chǎn)品管理、工程、法律和GRC的專業(yè)人員組成的跨職能小組，任務(wù)是通過設(shè)計原則實現(xiàn)隱私，并將適用法律法規(guī)的隱私要求納入產(chǎn)品或服務(wù)。這些都是通過包括數(shù)據(jù)隔離、多租戶和自動化在內(nèi)的技術(shù)組合實現(xiàn)的。

審計角度來看評估隱私合規(guī)性是一項非常困難的工作。一些關(guān)鍵的要求，如數(shù)據(jù)最小化、跟蹤同意和處理數(shù)據(jù)主體請求，理論上可能感覺很容易實現(xiàn)，實踐中實施起來卻非常困難。如果使用程序化的方法，包括隱私即代碼和自動化概念，就可以省時省力地推動保障隱私。審計人員需遵循各種實施機制，并制定適當(dāng)?shù)臏y試步驟以確保滿足相關(guān)的隱私原則。

五、情緒智力（EI）

一個優(yōu)秀的網(wǎng)絡(luò)安全審計人員不僅需要扎實的技術(shù)能力，同時需要良好的溝通和建立關(guān)系，這一點已經(jīng)得到了業(yè)界的廣泛認同。

這其中的一項關(guān)鍵技能就是情緒智力。IT審計人員需時刻保持頭腦清醒、敏銳警覺，思考問題有邏輯，并具有懷疑精神。相關(guān)研究表明，情緒智力是處理審計期間面對的情緒和壓力的關(guān)鍵因素。研究還發(fā)現(xiàn)情緒智力與審計人員的判斷有很大關(guān)系。培養(yǎng)強烈的自我意識和調(diào)節(jié)自己的各種負面反應(yīng)非常重要，每個人都有一套提高自己情緒智力的方法。由此看來情緒智力是需要我們不斷提高的關(guān)鍵能力。

?作為一個優(yōu)秀的IT審計師，需要清楚地了解各種安全相關(guān)流程的實施以及環(huán)境中不同平臺和服務(wù)之間的相互聯(lián)系，然后確定相關(guān)和各自特有的風(fēng)險，持續(xù)學(xué)習(xí)，不斷創(chuàng)新，提高解決風(fēng)險問題的能力。

如有相關(guān)問題，歡迎主頁咨詢我們哦！