我们正在进入一个新时代,重塑我们曾经的工作方式. Pre-2020 seems like a lifetime ago, 不仅仅是组织在加速采用云计算, 作为从业者,我们正在重新审视自己的职业和技能.
去年的这个时候,我发现自己制定了一个关于如何审核我们组织的云策略的策略, key processes, and controls. I quickly learned that I needed Friday mornings, coffee, 还有一群和我一样渴望成功的人.
我们阅读了无数的文章和期刊,并举行了头脑风暴会议, 我们知道我们必须为被审计方和我们自己定义价值. As a result, 我将分享一种方法,可以帮助您制定如何在组织中审计云采用的策略:
Step 1: Rally for interest and build talent. 如果你没有一个团队的人朝着云计算能力的方向发展, 然后你将花费你的精力和时间去说服, over planning and execution. Upskilling is necessary 无论你的团队有多少年的实际IT经验. 考虑奖励和激励组织中那些渴望或感兴趣的人. 寻找并雇用已经具备这些技能的人来鼓励和带动其他人. 创建一个燃烧的平台,并将云技能期望纳入职位描述. 这些概念不仅适用于我们,也适用于我们将要审计的对象.
Step 2: Identify where cloud activity exists. 就像当今组织中识别硬件和软件资产的挑战一样, 找出云活动存在的位置是有效加强组织处理潜在安全风险和隐私问题的关键. 识别活动的方法可以包括独立扫描, 标记和跟踪发票和对云服务提供商的退款, 和/或云注册表的维护和验证.
步骤3:随着云成熟度的发展,主动识别风险. 在您了解云应用程序或软件在组织中的位置之后, 考虑您希望如何识别关键风险并审核控制. 虽然您最初的关键风险列表可能涉及安全控制或弹性等常用项目, 在你了解事情的现状之前,他们可能还没有准备好接受你的审查. 成熟度评估可能是正确的起点.
成熟度评估的要素应该与当前存在的关键风险保持一致. For example, 您可能希望研究如何在新的云环境中分配和管理个人和组访问, 但这些团体政策只是在讨论中,还没有建立起来. 这是与被审核员合作的最佳时机?
考虑如何建立持续开发、集成和测试过程. 还记得十多年前我们的审计工作是让开发人员远离生产环境吗? The process is different now, and while segregation of duties still matters, it looks different than it once did. 更改是实时部署的,自动化控制已经取代了以前在审计中使用的“等待直到有人登录来批准”的方法.
随着您的组织的云使用日趋成熟,请相应地更新和增强您的审计覆盖范围. 在过去“由审计驱动”的时间点上,持续审计是必要的. 成为一名有效的审计师需要持续的对话和定期的席位.
Step 4: Keep calm and adjust your sails. Will your cloud audit go as planned? Nope. 预料到这一点,并计划包括时间缓冲,并留出学习和发展的时间. Not only is continuous, agile auditing necessary, 这对于调整你的目标并迅速将其转换为新出现的风险是至关重要的.
审计云环境中不断发展的流程需要耐心, humility and a learning mindset. There are growing pains. 制定一个多年的战略可能是您实现目标和发展自己的审计技术和知识库的最佳选择.
请记住,就像生活一样,采用云计算的速度非常快. 如果你不偶尔停下来环顾四周,你可能会错过它.
Author’s note: 这些观点是我个人的观点,不代表芝加哥联邦储备银行.
Editor’s note: 了解有关云审计技能提升的更多信息 Certificate of Cloud Auditing Knowledge (CCAK),云安全联盟和ISACA证书.
