Wat is een computerbeveiligingsaudit?
Een computerbeveiligingsaudit is een technische beoordeling van hoe goed de informatiebeveiligingsdoelen van een bedrijf of organisatie worden bereikt. Meestal huren bedrijven IT-specialisten in om audits uit te voeren, meestal op willekeurige of onaangekondigde basis. Een van de belangrijkste doelen van de audit is om leidinggevenden een idee te geven van de algehele gezondheid van hun netwerkbeveiliging. Rapporten zijn vaak alomvattend en documenteren compliance naast eventuele niet-opgegraven risico's. Afhankelijk van het soort netwerk en de complexiteit van de systemen in kwestie, kan een computerbeveiligingsaudit soms op kleinere schaal worden uitgevoerd met een speciaal softwareprogramma.
Netwerken, intranetverbindingen en internettoegang hebben zakelijke transacties ongelooflijk efficiënt gemaakt, maar met deze efficiëntie is een zekere mate van kwetsbaarheid verbonden. Veel voorkomende risico's zijn hacking, informatiediefstal en computervirussen. Bedrijven implementeren meestal een aantal softwareprogramma's voor netwerkbeveiliging om deze risico's te beperken. Ze maken meestal ook best practices-regels voor netwerkgebruik. Een computerbeveiligingsaudit is een manier voor bedrijfsleiders om dagelijks te kijken hoe deze maatregelen werken.
Audits kunnen meestal zo smal of zo uitgebreid zijn als beheerders willen. Het is gebruikelijk dat bedrijven afzonderlijke afdelingen auditen en zich richten op specifieke bedreigingen, zoals wachtwoordsterkte, trends in gegevenstoegang voor werknemers of de algehele integriteit van de startpagina van het bedrijf. Een meer overkoepelende computerbeveiligingsaudit evalueert alle informatiebeveiligingsinstellingen, voorzieningen en acties van het bedrijf in één keer.
In de meeste gevallen eindigt de controle niet met een lijst van risico's. Inzicht in potentiële kwetsbaarheden is erg belangrijk, maar het alleen is geen garantie voor netwerkbeveiliging. Computerbeveiligingsauditrapporten moeten ook gewoon gebruik gedetailleerd beschrijven - met name hoe dat gebruik voldoet aan de beveiligingsdoelen van een bedrijf - en vervolgens suggesties voor verbetering doen.
Het analyseren van toegang tot gevoelige gegevens is meestal een belangrijk onderdeel van een computerbeveiligingsaudit. Weten welke werknemers toegang hebben gehad tot gegevens, hoe vaak en waarom bedrijfsleiders enig inzicht kunnen geven in hoe privé bepaalde informatie echt is. Auditors kunnen ook kijken naar de beveiligingsinstellingen voor bedrijfsactiva zoals de mainframe-website en individuele e-mailaccounts en kunnen meestal berekenen hoe vaak elke keer is ingelogd tijdens de auditperiode. Het doel hier is niet zozeer om individuele werknemers te volgen als wel om een idee te krijgen van gemiddelde verkeerspatronen en om gemeenschappelijke gebruiksmodellen te begrijpen.
Bovenal is het belangrijkste doel van de audit om een overkoepelend beeld te geven van een landschap voor computerbeveiliging. De meeste bedrijven plannen regelmatig audits in, vaak via hun IT-afdelingen of met externe contractanten. Door deze oefeningen leren ze proactief te zijn in reactie op zich ontwikkelende bedreigingen. Velen werken hun antivirus- en computerbeveiligingssoftware bij, veranderen hun wachtwoordbeleid en vergroten de sterkte van hun firewalls in reactie op bevindingen en aanbevelingen van auditrapporten.