При слові «аудит» перше, що спадає на думку – фінансові аудитори, які перевіряють звітність та іншу документацію в компанії. Проте коли ми говоримо про аудит інформаційних технологій, інформаційної безпеки або кібербезпеки, багато хто жартує про консультантів, які розповідають одне й те саме, надають поради без практичної користі, розмиті рекомендації, які клієнт міг би написати сам. Ситуація трохи змінилася з появою галузевих стандартів на кшталт PCI DSS, HIPAA та інших. З’явилося поняття аудиту на відповідність вимогам конкретного стандарту і відповідної сертифікації. Однак, такі аудити суворо обмежені сферою дії (охопленням) конкретного стандарту і не можуть відображати повної картини захищеності компанії.
Аудит кібербезпеки – проект набагато ширше галузевого аудиту на відповідність або перевірки впроваджених заходів безпеки з контролю поширення стандартів, наприклад, сімейства ISO27000. Це комплексна оцінка захищеності компанії, яка включає в себе:
-
Аудит бізнес-процесів компанії та організаційної структури
-
Аудит процесів кібербезпеки
-
Оцінку технічної захищеності (сканування і тестування на проникнення)
-
Оцінку стійкості компанії до соціальної інженерії
-
Аудит «тіньових» інформаційних технологій
-
Аудит безпеки процесів аутсорсингу