Los 3 principales desafíos de auditoría y cómo superarlos.

No importa qué papel juegues en el proceso de auditoría, la experiencia puede ser dolorosa. Si eres un consultor externo, tienes que trabajar con clientes que tienen presupuestos limitados y altas expectativas. Y si eres un auditor interno de TI / seguridad, es posible que tengas que atravesar un mar de políticas internas para completar tu trabajo y aprobar auditorías internas.

Si la organización que está auditando no entiende al agente criptográfico el alcance y el propósito de su programa de auditoría, se arriesga a crear un entorno en el que las personas a las que entrevistó sean menos útiles y más estrictas con sus respuestas, incluso hasta el punto. de ser hostil. Aquí hay algunas formas de evitar esta trampa y desarrollar una relación de trabajo sana y confiable:

Como auditor, probablemente se sienta súper cómodo con todos los acrónimos y la jerga que acompañan su línea de trabajo, pero no asuma que sus clientes lo están. A medida que la definición del virus de encriptación haga sus preguntas de auditoría, recuerde mantenerlas en términos simples siempre que sea posible. Podría estar preguntando cosas extremadamente técnicas a miembros del personal que no son extremadamente técnicos. Si preguntas algo y obtienes una habitación llena de miradas en blanco, intenta explicarlo de otra manera o con un ejemplo. Por ejemplo, cuando pregunto sobre las protecciones del perímetro de la red de una empresa, no menciono cosas como “IDS / IPS” y “AV de próxima generación”. En cambio, comienzo con algo como “Dígame un poco sobre el escáner de arbitraje de criptomonedas su firewall: ¿está simplemente haciendo el bloqueo tradicional o incluye tecnología más avanzada que hace cosas adicionales como escanear en busca de virus o impedir que las personas vean ciertos sitios web? “

• Hacer amigos con el personal de TI y seguridad. En muchos de mis compromisos de auditoría, mis conversaciones iniciales son con un ejecutivo de negocios de nivel C, pero la mayor parte de la evaluación real se realiza con un miembro del personal de TI o de seguridad. Comprensiblemente, estas personas pueden sentirse amenazadas y ponerse un poco a la defensiva cuando tienen que explicarle a un extraño cómo se diseña y protege la red. Las dos mejores formas de criptomoneda en todas las monedas que he encontrado para aliviar la tensión son la amabilidad y la comida. Lleve donas a su primera reunión con el departamento de TI / seguridad del cliente. A medida que comienzan las conversaciones, ofrezca algunas garantías como, “para que quede claro, mi trabajo aquí no es criticar el trabajo que está haciendo”. Quiero trabajar junto con usted para identificar los riesgos y luego ayudarlo a hacer un plan de remediación. Y quiero escuchar sus ideas sobre la diarrea con sangre de cryptosporidium que necesita esta compañía para proteger mejor a su gente y sus datos. Tal vez haya deseado un SIEM y las capacidades de automatización de seguridad que lo acompañan durante años, pero nadie lo escuchará. Parte de mi trabajo es apoyarlo y hacer eco de estos tipos de solicitudes a la administración. En última instancia, quiero que las aplicaciones de criptografía de clave simétrica intenten obtener algunas de las cosas que desea “. Una vez que el equipo vea que está de su lado, sus preguntas serán respondidas con más honestidad, la evidencia de auditoría será más precisa, la la calidad de la auditoría será mayor y todos obtendrán más valor de la evaluación.

Una vez que se inicia una auditoría, es fácil que las discusiones en formato PDF se salgan del tema y, antes de que se dé cuenta, pasa tiempo hablando y trabajando en cosas que están fuera del alcance. Es natural querer ayudar, pero después de un tiempo, es probable que descubra que todo este pequeño espacio de tiempo extra puede costarle a usted y a la organización que está auditando mucho tiempo y dinero.

Sepa que no hay nada de malo en definir su alcance, y atenerse a él, durante un compromiso. Como la mayoría de las organizaciones tienen que cumplir con uno o más estándares regulatorios (la ley sarbanes-oxley, PCI, HIPAA, GDPR, etc.), úselo para establecer los controles internos de la organización como su brújula. Ayudará a guiar su trabajo y mantendrá a todos en la tarea y en la pista.

Si el cliente insiste en pedirle su opinión sobre la suite de cryptocard y el tiempo en los artículos fuera de alcance, claramente valoran su experiencia. Explique que cualquier pregunta fuera del alcance inicial califica para un nuevo proyecto, que costará tiempo y dinero adicionales, especialmente si sus honorarios de auditoría son facturados por proyecto. Haga que este tipo de solicitudes sea fácil para los clientes al tener un formulario de orden de cambio en la mano para que puedan aprobar las horas adicionales rápidamente. De esa manera, es una victoria para todos. 3. Las auditorías que están llenas de vergüenza y culpa son degradantes e improductivas.

Creo que es fácil, y tentador, redactar su evaluación de auditoría con un tono mordaz o acusatorio, pensando que si completa el informe con suficientes hallazgos de alta severidad obtendrá una gestión de crypto map set pfs motivada para comenzar a remediar las cosas. En cambio, lo que sucede a menudo es que el personal de TI / seguridad (los responsables que realmente intentan mejorar las cosas) son reprendidos por sus hallazgos, la moral de su equipo recibe un golpe y todos sufren fatiga de auditoría debido a su informe de mil páginas.

En lugar de centrarse en las reprimendas, concéntrese en la reparación. Al final del día, la mayoría de las empresas de la aplicación de seguimiento de precios de criptomoneda saben que tienen problemas, y están buscando ayuda y orientación. Un elemento que incluyo en mis entregables como resultado de la auditoría es un plan de acción de seguridad que ofrece una guía de remediación para cada riesgo identificado, junto con el tiempo esperado y los costos de intercambio de la criptomoneda de bitcoins. De esa manera, los clientes pueden unir el informe de auditoría detallado con el plan de acción de seguridad y, esencialmente, ¡tener un libro de jugadas que puedan seguir para mejorar la organización! Eso es lo que nosotros, como consultores y auditores, queremos para nuestros clientes y organizaciones, y es por eso que ingresamos en la profesión de auditor, en primer lugar, ¿no?

banner