사이버 보안 감사에 대비하기 위해서는 우선 인터넷에 연결된 모든 장치의 수를 세어야 한다. 데스크탑과 랩탑, 직원들의 휴대전화, 프린터, 보안 시스템 등 모든 기기의 재고를 조사한다. 장치를 제거하거나 추가했다면 인벤토리를 업데이트한다. 또 네트워크에 연결돼서 제한적인 권한이 승인된 소프트웨어 목록의 리스트도 작성한다. 허용 목록이 아닌 소프트웨어의 다운로드 및 사용을 중지할 수 있다.
그리고 사용자의 역할이나 직무에 따라 사용자의 권한을 조정한다. 사용자 권한 조정은 필수가 아닌 프로그램의 다운로드 및 사용을 막을 수 있다. 또 이런 방법으로 해커의 잠재적인 공격을 제한할 수 있다.
운영체제, 브라우저 및 프린터 모두 보안을 염두에 두고 구성해야 한다. 특정 수준의 암호, 열려 있는 포트, 사용자가 로그온할 수 있는 프로그램 등 운영 체제에는 수백 가지 설정이 존재한다.
시스템 및 네트워크를 항상 안전하게 유지하기 위해 소프트웨어 공급 업체가 배포하는 보안 패치를 즉시 설치한다. 사이버 보안 감사 전문가들은 완벽하게 패치된 네트워크에 가산점을 줄 것이다.
또 조직이 공격에 대비할 수 있다는 인상을 주기 위해 사고 대응 계획을 세워둬야 한다. 사고 대응 계획 요소로는 위험 평가, 침투 테스트 및 직원 교육 실시 등이 포함된다. 예를 들어 직원들이 의심스러운 이메일을 받거나 실수로 악의적인 파일을 다운로드했을 때 어떻게 대처해야 하는지 교육한다.
사이버 보안 감사를 위해서는 회사 내부가 아니라 외부에서 온 제 3의 사람들에게 의지하는 편이 좋다. 그래야 회사의 사이버 보안 약점을 알아내고 보완할 수 있다.
