Investor's wiki

Sikkerhetsrevisjon

Sikkerhetsrevisjon

En sikkerhetsrevisjon består av en systematisk analyse av en applikasjon, et system eller en database for å vurdere hvor solid og sikker den er. I forbindelse med blokkjeder består sikkerhetsrevisjoner av en fagfellevurdering av en smart kontrakt eller blokkjedekode for å identifisere potensielle feil eller mangler.

Med tanke på den tradisjonelle definisjonen undersøker en sikkerhetsrevisjon prosesser i henhold til en forhåndsbestemt retningslinje eller i forhold til en standard, for eksempel Common Criteria for IT Security Evaluation. Mange selskaper utfører sikkerhetsrevisjoner som en måte å sikre at systemene deres er sterke nok mot potensielle lekkasjer, inntrenging eller cyberangrep.

Bortsett fra det, er sikkerhetsrevisjoner svært viktige for å avgjøre overholdelse av regelverk fordi de gjør det klart hvordan et selskap eller en institusjon håndterer og beskytter sensitive data. Tilsynene kan også undersøke fysisk tilgang til virksomhetens fasiliteter og informasjonssystemer, samt forebyggende strategier mot potensielle angrep.

Sikkerhetsrevisjoner kan betraktes som en av de tre hovedtypene av sikkerhetsdiagnostikkmetoder, sammen med sårbarhetsvurderinger og penetrasjonstester (aka. pennetest). Fullstendige sikkerhetsrevisjoner vil imidlertid ofte inkludere pennetester og sårbarhetsvurderinger, så begrepsdefinisjonen kan endres avhengig av konteksten.

Som nevnt vurderer en sikkerhetsrevisjon vanligvis sikkerheten til et informasjonssystem i forhold til en liste med kriterier. Derimot er en sårbarhetsvurdering avhengig av en omfattende analyse av hele systemet for til slutt å identifisere sikkerhetshull. Sikkerhetsrevisjoner er med andre ord mer spesifikke, fokusert på en bestemt nisje, og sårbarhetsvurderinger er mer generalistiske. Til slutt har vi penetrasjonstester, som består av simulerte angrep som en måte å teste både svakhetene og styrkene til et system. I noen tilfeller blir white-hat-hackere ansatt bare for å utføre disse autoriserte cyberangrepene. Noen selskaper tilbyr også belønninger via Bug Bounty-programmer.

Ideelt sett bør sikkerhetsrevisjoner gjennomføres minst én gang i året, for å sikre at forsvarsmekanismene er oppdatert mot de siste truslene.