2017年21月、ロサンゼルスを拠点とする衣料品小売業者フォーエバー2015は、一部の顧客にデータ侵害が発生した可能性があると発表しました。調査の結果、XNUMX年に導入された「暗号化およびトークン化ソリューション」が、一部のPOS端末で機能していなかった可能性があることが判明しました。
組織は、技術革新への依存度が高まるにつれて、サイバー脅威に対して脆弱になっています。これらの脅威は金融業界やIT業界にとどまらず、他の業界にも及んでいます。例えば小売業界は、より攻撃を受けやすいだけでなく、豊富な消費者情報源とみなされているため、多くの攻撃対象となっています。製造業界も、インダストリー4.0によるデジタル製造への取り組みや、センサー技術をはじめとするスマート製品の導入により、様々なサイバー脅威にさらされています。インダストリー4.0は、製造業における第XNUMX次産業革命であり、自動化、クラウド、データ交換、自律型産業技術への関心が高まっています。そのため、堅牢なサイバーセキュリティプログラムを導入し、最新の状態に維持し、適切に機能させることが不可欠です。
サイバーセキュリティ プログラムの監査が重要な理由
あらゆる業界の企業の多くは、サイバーセキュリティプログラムを確立しています。しかし、これらのプログラムが不十分なのは、セキュリティプロセスをレビュー・監査し、適切な間隔で実行されているかを確認する能力です。例えば、導入されたセキュリティプロセスで月1回の脆弱性スキャンがスケジュールされているにもかかわらず、製品のアップデートが月2回しかリリースされていない場合、脆弱性が未発見のまま、あるいは全く発見されない可能性があります。このような侵害は長期間気づかれない可能性があり、セキュリティ侵害が発生してから初めてギャップが指摘されることもあります。サイバー脅威は急速に進化しているため、サイバーセキュリティ対策を常に効果的かつ最新の状態に保つことが重要です。
続きを読む: サイバーセキュリティにおける内部監査の役割
監査のタイムライン
典型的な 「3つの防衛線」モデルサイバーセキュリティの責任 トップレベルから始まる CIO/CISOは監査チームと連携し、サイバーセキュリティ管理フレームワークを最終決定し、セキュリティポリシーと手順を実施します。このフレームワークは3~5年かけて策定される可能性があり、プロセスの有効性を確認するために6~12ヶ月ごとに見直す必要があります。
サイバーセキュリティ対策において監視と監視が継続的に行われていない場合、しばしば罠に陥ります。新たな脅威や脆弱性は日々発生し続けます。こうしたリスクを軽減するため、多くの組織ではサイバーセキュリティ委員会を設置し、多くの場合CISOが委員長を務めます。委員会は定期的にすべての関係者と会合を開き、サードパーティのデータストレージの追加、重要な従業員の入社・退職、あるいは新しいハードウェア、ソフトウェア、サーバーの追加など、その都度発生する可能性のある脅威や脆弱性を評価します。
第二の防衛線 サイバーセキュリティに関連するリスクとエクスポージャーを評価する役割を担います。第一線および第三線の防衛部門と緊密に連携し、ポリシーを策定し、サイバーセキュリティに関する効果的な意識啓発を行います。四半期/半期ごとの監査とマネジメントレビューを実施することで、リスク報告と管理が適切かつ最新の状態であることを確認します。また、ベンダーとの関係を評価し、会社の機密データへのアクセスを継続的に監視することで、ベンダーを統制する必要があります。ベンダーを毎年監査し、主要なセキュリティ指標を毎月/四半期ごとに報告することで、より高いサイバーセキュリティ基準を確保できます。
内部監査機能は、 第三の防衛線 組織のあらゆる側面におけるサイバーセキュリティリスクの軽減状況を監査する責任を負います。監査には通常、ユーザーアクセス、ネットワーク設計、ベンダー管理、監視、従業員、ITスタッフ、組織のインターフェースを扱うベンダーを対象としたサイバーセキュリティ意識向上トレーニングの四半期/半年/年次レビューが含まれます。これにより、インシデントや侵害への備えを強化します。各チームで半年ごとに机上演習を実施することで、定められたプロセスの有効性を評価するのに役立ちます。監査は計画的な活動であり、開始基準、定期的な進捗状況報告と終了会議、そして各段階における明確な期待値が明確に定義されている必要があります。
Seqriteで効果的な監査とコンプライアンスを確保
Seqriteは、あらゆるサイバー脅威から顧客を保護するため、プロアクティブ、アクティブ、リアクティブの多様なサービスを提供しています。Seqriteは、タイムリーかつ効率的なシステム監査を実施することで、組織がIT資産を積極的に保護し、あらゆる規制要件を遵守できるよう支援します。Seqriteは、技術監査、コンプライアンス監査、レッドチーム監査を専門とし、世界中の企業に包括的なセキュリティ管理およびコンサルティングサービスを提供しています。
インフラストラクチャセキュリティ、アプリケーションセキュリティ、産業用制御システムセキュリティは、Seqriteが提供する技術監査の主要27001分野です。コンプライアンス監査にはISOXNUMX、PCI DSS、HIPAAなど多くのコンプライアンス基準が含まれ、レッドチーム監査には準備状況評価、レッドチームアセスメント、ウォーゲームが含まれます。
脆弱性に対処するための是正措置を講じることは不可欠ですが、攻撃や侵害を軽減するために、是正措置と予防措置が最新の状態に保たれ、効果的に機能していることを確認することがさらに重要です。Seqriteのような専門家による定期的な監査は、サイバーセキュリティプログラムを常に最良の状態に保つのに役立ちます。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威からエンドポイントを包括的に保護します。詳しくは、 ウェブサイト or
