Top Ten IT Security Audit Findings

Secara umum, ada 10 type temuan dasar dari auditor IT Security, yaitu :

Data Classification

Typical Security Issue: Inability to find or produce an inventory of assets and associated classifications.

What It Means:

One would be surprised how many companies out there do not even know what assets they have.

If your company does not know what it owns, then it probably does not even know how to protect it.

And, if your organization does not know what it has, then it probably is unaware of the risks it is facing.

How to Avoid the Problem:

Traditional classification mechanisms and controls often fail, and classification is often a problem for enterprises,

especially for the large ones. It is reasonable for an auditor to recognize that an enterprise has no idea where its

sensitive data is held or how it is protected, but it is not reasonable to expect an enterprise wide classification

and labeling scheme to be implemented.

Minimum Action Needed:

Create an ad hoc list of critical systems and publish a reasonable classification policy.


Conduct an inventory and classification project. If possible, take advantage of automation of this process.

Inventory and classification works best through a formal asset management process which utilizes automated

mechanisms to identify sensitive data and use mandatory controls and content-aware mechanisms to prevent data leakage.

Change Management

Typical Security Issue: Evidence of change management on material systems cannot be found.

What It Means:

It is likely there is no one in your company whose job is to control mission-critical changes which means that the company probably does not know what problems might result from changes.

How to Avoid the Problem:

Unauthorized changes by privileged users represent a far greater risk than external threats, such as attacks of

external hackers or malicious code attacks.

Change management is the area which can easily introduce unwanted risks into your information system and

as such needs to be focused on more intensely. The U.S. SarbanesOxley Act plays a major role in implementing controls

into the corporate governance model.

Minimum Action Needed:

In order to mitigate change management risks, it is advised to maintain separate development, testing,

and production environments together with implementing a robust and well documented change request process.


Implement enterprise wide change management processes and best practices.

Advanced Recommendation:

Some companies with complex information systems implement a full change management database (CMDb)

which enables configuration auditing and automated change recognition.

Pay attention to segregation of duties.

Administrator Controls and Shared Accounts

Typical Security Issue: Administrator accounts are not tied to specific individuals.

What It Means:

Administrator accounts are not tied to particular individuals. Access controls and monitoring is ineffective.

How to Avoid the Problem:

Administrator accounts have high privileges, they can change critical configuration items or data.

Administrator accounts are often used by administrators with little or no tracking control.

They are often used by more than one administrator by just sharing the password.

When the administrator leaves the company, the password often stays unchanged.

These administrator accounts are frequently not tied to specific individuals, so the accounts can be used to do virtually

anything with little or no possibility of detection. They are often used to gain uncontrolled access to systems.

Knowing how, through which accounts, and when systems or data is administered and supporting it with sound policies

which are enforced can easily reduce many risks in this area.

Minimum Remediation Required:

Avoid the sharing of accounts of any type by users. Tie each identity and each privileged account to a specific individual.


It is best to reduce the number of privileged accounts by limiting them to those individuals that specifically need it.

Advanced Measures:

Reduce the number of administrators to as little as possible. The supervisor of the administrator or the management

of the companyshould create unique password and store it in a sealed envelope in a safe.

This password and the system generated “administrator” account should be used only in emergency situations.

For regular administrative work, the administrator’s personal user account

should have elevated privileges, and the administrator should use his own account to do administrative tasks.

This will allow for admin access and admin activities to be monitored and tracked.

Identity and Access Management

Typical Finding: It is not possible to determine each user’s privileges or to determine that each user has appropriate

and appropriately approved privileges.

What It Means:

This means two things: We do not know to what systems or data the user has access, or we are unable to find out

whether user’s access is appropriate and approved.

How to Avoid the Problem:

This situation often happens when an effective identity and access management (IAM) process is not in place.

An identity and access management process also needs to consider situations when users change roles, leave the company,

change their working status. Auditors often find out that accounts of employees who leave the company are not disabled,

and privileges of employees who change seats within the company are not reviewed.

Minimum Remediation Required:

Develop and implement processes for creating (provisioning) and removing (deprovisioning) users and their privileges.


Automate the user provisioning/deprovisioning and identity auditing processes.

Advanced Measures:

Implement role management, privilege attestation or enterprise segregation of duties (SOD) detection and remediation.

User Activity Tracking and Log Analysis

Typical Finding: Activity logs are not being collected and analyzed.

What It Means:

It happens very often with both small and big companies that they are unable to track user activity and produce a record

of which employees have accessed which systems or data and when.

How to Avoid the Problem:

It is important not only to know what the user can do, what systems and data he or she can access, but it is also

important to know what the user has done. Activity tracking and analysis can help greatly in two ways: a)

when analyzing suspicious behavior or breaches of rules, and b) as a deterrent to inappropriate behavior

(if the user knows that he or she is being monitored, he or she is less likely to cross into the bad world).

Minimum Remediation Required:

Manually review logs for mission-critical systems.


User activity tracking and log monitoring is often achieved through implementation of automation for centralization and

report generation.

Advanced Measures:

Companies that understand the importance of user activity tracking and log monitoring implement security information

and event management (SIEM) application.

Segregation of Duties in ERP Systems

Typical Finding: The enterprise is unable to control segregation of duties.

What It Means:

Segregation of duties is very important in systems that affect the integrity of financial reporting.

The use of conflicting permissions could compromise the integrity of finance. Segregation of duties is also important in

IT risks management. Segregation of duties is for example when one person can add data into the database and also

edit and delete them. These roles should be segregated.

How to Avoid the Problem:

It is necessary to prevent segregation of duties conflicts and to implement controls necessary to prevent them.

Segregation of duties violations are often a red flag as they represent an unnecessary vulnerability and sometimes

indicate deliberate fraud.

Minimum Remediation Required:

You can detect segregation of duties violations by manually reviewing all users’ permissions to identify conflicts.


The detection and remediation processes for segregation of duties can be automated. The provisioning workflow

can be formalized into an online system to prevent future conflicts.

Advanced Measures:

Transactions can be monitored continuously for risky use of conflicting permissions.

Physical Access

Typical Finding: Access permissions are not documented and unknown. Unauthorized access is achievable.

What It Means:

This finding is very common and means that persons gaining unauthorized access to facilities have the ability to

damage, misuse, or alter the enterprise’s critical systems, applications, and information assets.

How to Avoid the Problem:

Physical access to systems and assets must be controlled and addressed appropriately.

Minimum Remediation Required:

Access policies and minimal controls are the basic measures in physical access. Controls can take the form of for example

door locks, sign-in sheets, monitoring with camera, or just correct placement of the assets to a place less susceptible to

an attack.

Advanced Measures:

More advanced measures include for example multifactor authentication, access control tracking integrated with

log concentrators, or video surveillance.

Business Continuity Management and Disaster Recovery

Typical Finding: Business continuity plans and disaster recovery plans are not available and current.

Evidence of periodic updating and review of such plans is not available.

What It Means:

This means that the company or process could be jeopardized in the event of disaster or other emergency.

How to Avoid the Problem:

It is vital for today’s businesses to have a minimal plan in place to protect business operations in the event of

reasonably anticipated threats (i.e. fire, flood, terrorist attack, etc.). It is important to consider not only traditional

risks such as flood and fire but also other risks such as internet and phone connectivity outage, avian flu epidemic, etc.

Minimum Remediation Required:

At least a minimal business continuity and disaster recovery plan should be furnished and periodically reviewed.


Formal plan using established best practices should be developed and then tested plan annually.

Advanced Measures:

Disaster recovery risk mitigation can take a form of a mirror production site with automated failover and failback capabilities.

Sourcing Controls and Partner Agreements

Typical Finding: Auditors often find out that agreements with third party service providers

and business partners do not specifically address data protection requirements.

What It Means:

It is important to realize that sensitive data may fall into the hands of unauthorized parties due to inadequate security

measures taking place in the relationship with external parties. This can happen for example when a company outsources

data processing activities to another company and that company outsources the activities further.

How to Avoid the Problem:

Controls for the transfer of the data between the enterprise and the external party should be developed.

Controls should also be in place for the protection of the data while in control of the external party.

Minimum Remediation Required:

Security requirements of all agreements and contracts with business partners and third-party service providers

should be reviewed.


All external parties should be required to present evidence of security controls, conducting annual reviews of those controls.

Risk and security requirements should be added to all contracts and other agreements with external parties.

Advanced Measures:

Require Statement on Auditing Standards (SAS) 70 Type 2 audits, or equivalent external review and attestation,

of all controls.

Education and Awareness

Typical Finding: Security education is not provided to employees.

Knowledge and understanding of data protection responsibilities of employees is not tested and documented.

What It Means:

Even well-intentioned but uninformed employees can represent a great risk to the enterprise.

Disclosing information to a journalist by an employee can be meant well but can have far reaching consequences.

How to Avoid the Problem:

Very often, risks can be mitigated by just explaining to people what they are allowed to do, or what they should not be

doing. For this reason, education and awareness programs usually offer the greatest return on investment.

Minimum Remediation Required:

Distributing a guide documenting approved best practices and conduct workshops explaning these best practices

is a great way to educate employees.


Training program should be formalized with a specific target and professionally produced instruction materials.

Advanced Measures:

Computer-based training is very common these days. Computer based training is

often supplemented with tracking, reporting on completion, and specific compliance goals.

Moga-moga artikel ini bermanfaat .. dan gunakan artikel ini untuk mendapatkan hasil yang bagus pada saat di audit

oleh auditor IT Security..


Leave a Reply

Fill in your details below or click an icon to log in: Logo

You are commenting using your account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s