¿Es correcto considerar las auditorías como de carácter exclusivamente "detective"?

4

Estoy estudiando para el examen CISSP y uno de los puntos de la conferencia de video no tenía mucho sentido para mí. El instructor estaba discutiendo las áreas de administración de control de acceso y comenzó a categorizar ciertas cosas como "preventivas" y "detectivas". Por ejemplo, cifrado de datos: preventivo ... verificaciones de integridad de datos: detective ... sistemas de respaldo de energía: preventivo ... entrenamiento del usuario: preventivo Y detective ...

Cuando el tema llegó a las auditorías, las etiquetó como "detectives". Hasta cierto punto, entiendo por qué esto sería así, ya que estamos buscando vulnerabilidades, si las encontramos ... las estamos detectando.

Sin embargo, al mismo tiempo, no puedo dejar de preguntarme si las auditorías también pueden considerarse de carácter preventivo, porque estamos buscando vulnerabilidades con anticipación para evitar que sean explotadas más adelante.

¿Cuáles son tus pensamientos? Tal vez estoy pensando demasiado en esto?

    
pregunta Mike B 05.05.2011 - 02:37
fuente

2 respuestas

8

Al igual que la recursión, para entender correctamente las auditorías, primero debemos entender el alcance y el uso de las auditorías. Las auditorías se utilizan para determinar el cumplimiento contra un punto de referencia. Sin dicho punto de referencia, entonces el auditor no tiene nada que medir. En algunos casos, su punto de referencia puede ser un documento muy técnico que describe las prácticas de programación o las configuraciones del sistema operativo. En otros casos, su índice de referencia puede ser tan vago como "siga las mejores prácticas según lo determinado por $ RANDOM_DEPT".

Pensando en ellos bajo esta luz, usando sus etiquetas, las auditorías deben clasificarse estrictamente como 'detectives'. Entonces, esto significa que las medidas 'preventivas' serían los puntos de referencia / estándares / políticas / lo que sea.

Considera lo siguiente:

  

Para evitar el acceso no autorizado   por ex empleados todas las cuentas son   deshabilitado en la separación.

En este escenario, la medida para deshabilitar cuentas es su medida preventiva. Durante el curso de una auditoría, su auditor intentará determinar si se sigue o no la política.

    
respondido por el Scott Pack 05.05.2011 - 05:22
fuente
5

Las auditorías se utilizan normalmente para la detección: detección de problemas. Los controles suelen proporcionar prevención: prevenir intrusiones.

Sin embargo, puede usar auditorías para más que solo detectar intrusiones. También puede usar la auditoría para detectar problemas o fallas en sus controles (por ejemplo, auditorías de cumplimiento, auditorías de configuración de red) y / o para detectar vulnerabilidades (por ejemplo, pruebas de lápiz, revisión del código fuente).

En consecuencia, las auditorías pueden ser útiles para mejorar sus controles y defensas del sistema. Las auditorías pueden ser parte del circuito de retroalimentación que usa para mejorar las protecciones y controles que ha implementado. Por lo tanto, las auditorías pueden ayudarlo a mejorar su capacidad de prevenir intrusiones futuras, ya que pueden ayudarlo a determinar si sus controles se implementan de manera coherente y adecuada, y si sus controles funcionan de manera efectiva y, de no ser así, indiquen dónde están los problemas para que pueda idear Maneras de mejorar tus controles. Dicho de otra manera: las auditorías pueden ayudarlo a mejorar sus controles, lo que mejora su capacidad para prevenir problemas.

¿Es eso lo que estás preguntando?

    
respondido por el D.W. 05.05.2011 - 07:42
fuente

Lea otras preguntas en las etiquetas