审计融入技术架构可促进业务发展

 ZDNet安全频道原创翻译 转载请注明作者以及出处

对于公司来说，实施标准是创建和管理安全策略及流程的有效指南。很多审计人员都利用标准创建包含了关键控制项目的列表，并应用到安全实践中。如果管理、审计和安全团队密切合作保证了业务的有效运行，公司就可以从这里面中获得利润。而如果他们只是各自为政的话，公司的生产就会受到影响，业务目标也可能遇到阻碍。

面临的挑战

业务经理都有自己的主要目标：这就是提高利润。并且所有其它商务活动存在的目的都是支持这一目标。是的，很多公司会对社区进行回馈，并为自己的员工提供很好的待遇。但是，如果公司业绩出现了赤字的话，它就什么也不能做了，这就是现实的底线。

与几十年前相比，今天的业务运行面临着从来没有预期到的巨大压力：在保护存储和流通中的电子知识产权和敏感个人信息安全的同时，如何利用信息技术来保持竞争力。对于安全和审计人员（包括内部和第三方）来说，现在的责任就是协助公司实现这一目标。

对于安全团队和审计人员来说，通常会选择一项或多项业务标准来进行适当的控制。当管理不是很恰当的时间，这种选择和部署过程可能会导致：

妨碍公司接近战略、战术和业务目标；并且在安全和审计人员之间造成裂痕，导致出现对抗的环境。

任何一种情况出现，都会导致公司受到损害。

解决方案

首先，让我们确定一个实施标准的目的。标准是一项准则，而不是强制性的行政、物理和技术控制设置。不论是信息系统和技术控制目标（ＣＯＢＩＴ）还是国际标准化组织（ＩＳＯ）提出的标准都不应该被认为具有圣经一样的地位。如果获得了正确使用的话，一项实施标准可以帮助安全和审计人员找到正确的问题作出合理的指导。

其次，审计和安全工作不应该在两项不同的标准下进行。它们应该共同努力，选择实施一项或者多项标准，确保公司特色受到支持。但是，即使审计和安全团队都同意使用相同标准的话，在具体领域中落实到什么程度也往往会引起争论。

如果审计和安全团队都把业务目标作为最高准则的话，他们可以消除大部分争论。换句话说，他们应该共同努力使业务流程满足业务目标的需要。对整体框架没有明确认识的时间，显然是不能完成这一点的。

体系总体结构

在体系总体结构的框架内，审计和安全团队可以将包括控制在内其它所有解决方案融合到一起。他们可以就哪些控制措施是必须的以及怎么进行衡量开展讨论。对于所有的安全、审计和信息技术设计和实施团队来说，它包含了四个基本架构：信息、网络、系统和安全。

图一

如图一所示，信息架构是从业务需求产生。它对什么信息是必须的，谁在何时何地需要它们进行了描述。一个设计良好的信息架构可以实现对信息的有效利用满足业务目标的需求。

网络架构描述了企业中的信息是如何进行传输和存储的。在该设计中包含了外部实体与公司分享数据时需要的接口。

系统架构对系统设计情况进行了定义。它让诸如财务和人力资源之类的处理系统可以按照信息架构的定义对数据进行处理并提供有价值的信息。

代表包括网络和系统在内所有技术架构的，就是安全架构。它可以保证其它架构使用的信息符合法律要求，并且满足客户和员工对隐私信息安全的期望。

所有架构在设计的时间都必须对一项或者多项实施标准进行比较。这种比较，应该贯穿于所有架构的设计过程中，管理层、网络和系统工程师，以及开发者都应该提出自己的意见。关于这些意见的答案，应该包括怎么保证标准的所有部分都满足公司的独特要求，创建信息处理过程的环境时安全应该做到什么水准。换句话说，就是安全必须保证业务活动不受到过分干预。

审计

在架构设计阶段经常被遗忘的一个步骤是如何对成功进行定义。公司将怎么决定该架构设计是否达到预期成果？谁来验证这一架构能够有效运行满足要求？这两个问题的答案都是审计团队。审计应该对包括技术设计和实施在内所有的业务活动进行控制。

架构建设和维护团队应该包括来自审计团队的代表。此人的职责是对关键绩效指标进行定义并进行评估。通过将审计融合到设计过程中：

管理、技术和审计团队都使用同一套标准；架构中涉及到的所有部门都对成功的标准达成了一致；并且架构中涉及到的所有部门都同意对成功进行评估的步骤。

将审计融合到确保技术架构的关键控制中实际上意味着一些事情。它并不是任意加入一些实施标准，而是反映了公司的实际需求。

结论

包含业务技术的系统部署需要来自标准的支持，通过使用一致性架构，并应用到审计模式可以确保这个过程的成功。没有将这些工作融合到一起的公司，他们的业务经理、安全和审计团队之间会经常出现冲突。将所有要求和联系放到一起进行讨论，并融合进架构设计中可以消除在非业务层出现的争吵和不必要的控制，让业务更接近战略、战术和当前目标。