3 března, 2022

4 Snadné kroky jak provést IT bezpečnostní Audit vaší vlastní společnosti

podniky často považují audit zabezpečení dat za stresující a rušivý proces. Auditor chodí kolem a rozptyluje všechny a vměšuje se do běžného provozu společnosti. Užitečnost provádění auditů je také něco pro debatu: nestačí pravidelné hodnocení rizik k vytvoření bezpečnostní strategie a ochraně vašich dat? A pokud jste předmětem předpisů o dodržování předpisů týkajících se bezpečnosti soukromých dat, dříve nebo později budete stejně čelit oficiálnímu auditu. Nebylo by lepší se na to připravit, než si udělat vlastní bezpečnostní audit IT?

ve skutečnosti jsou však vlastní audity velmi užitečné, protože splňují soubor konkrétních cílů. Vlastní audity vám umožňují:

  • Vytvořte základní bezpečnostní základnu-výsledky několika self-auditů v průběhu let slouží jako fantasticky spolehlivá základní linie pro posouzení vašeho bezpečnostního výkonu
  • pomáhají prosazovat bezpečnostní předpisy a postupy – audity vám umožňují zajistit, aby všechna opatření kybernetické bezpečnosti zavedená ve vaší společnosti byla důkladně vynucena a dodržována
  • Určete skutečný stav vaší bezpečnosti a formulujte strategii pro budoucnost – audit vám ukáže, jak jsou věci skutečně mnohem podrobnějším způsobem, než by kdy mohlo hodnocení rizik. To není jen upozornit na chybějící věci, ale také bere v úvahu stávající procesy a ukazuje, proč a jak by měly být zlepšeny.

všechny a všechny, self-audit je fantasticky užitečný nástroj, když potřebujete posoudit vaši kybernetickou bezpečnost nebo se ujistit, že jste připraveni na skutečný audit shody v řadě. Je dobrou praxí provádět vlastní audity poměrně často-ideálně několikrát ročně.

ale jak provést audit kybernetické bezpečnosti?

existuje celá řada způsobů, jak shromáždit potřebná data, jako je správa přístupu, monitorování akcí uživatelů a software pro sledování zaměstnanců, což vám umožňuje vytvářet centralizované zprávy pro důkladné posouzení bezpečnosti. Nebylo by však spravedlivé říkat, že samoaudity jsou bez jejich spravedlivého podílu nevýhod, a my se jich dotkneme dále, když podrobněji diskutujeme o vlastním auditu.

ale nejprve se podívejme na výhody a nevýhody každého ze dvou způsobů, jak můžete provádět vlastní audit:

externí vs interní audit

při rozhodování o provedení vlastního auditu to můžete provést interně s vlastními zdroji nebo smluvně s externím auditorem. A volba mezi nimi není tak řezaná a suchá, jak by si člověk myslel.

externí auditoři jsou skvělí v tom, co dělají. Používají sadu softwaru pro audit kybernetické bezpečnosti, jako jsou skenery zranitelnosti, a přinášejí své vlastní rozsáhlé zkušenosti ke stolu, aby prozkoumali vaši bezpečnost a našli v ní díry. Velkou nevýhodou je však to, že nejsou levné a najít osobu s potřebnou kvalifikací a zkušenostmi mezi mořem nabídek může být velmi těžké.

úspěch takového auditu bude navíc do značné míry záviset na kvalitě komunikace mezi vaší společností a auditorem. Pokud auditor nemůže získat správná data nebo je získat pozdě, může se audit táhnout, produkovat nespolehlivé výsledky nebo nafouknout náklady.

to vše činí externí audity spíše luxusem než trvalým řešením. Jsou skvělé dělat jednou za rok (pokud máte čas a peníze na to), nebo jako způsob, jak připravit vaši společnost na skutečný audit shody, ale dělat je každé čtvrtletí může být nákladově neúnosné.

interní audity jsou naproti tomu snadné a mohou být velmi účinné jako čtvrtletní hodnocení, což vám pomůže shromažďovat data pro vaši základní úroveň zabezpečení a zkontrolovat, zda jsou stávající politiky účinné nebo ne. Nevýhodou však je, že interním auditorům často chybí zkušenosti a nástroje potřebné k tomu, aby odpovídaly kvalitě profesionálního externího auditu. To samo o sobě však není něco, co nelze vyřešit pouhým najetím správných lidí a jejich školením pro tuto práci.

současně jsou interní audity nejen levné, ale také efektivní z hlediska procesu. Pro interního zaměstnance nebo oddělení je mnohem snazší shromáždit všechna potřebná data bez náročného procesu vytváření efektivní komunikace a bez narušení stávajícího pracovního postupu ve společnosti.

a zatímco interní audity mohou teoreticky vypadat komplikovaně, ve skutečnosti vše, co musíte udělat, je dokončit řadu jednoduchých kroků a získat požadované výsledky. Dále budeme podrobněji diskutovat o těchto krocích.

4 jednoduché kroky k samoauditu

1. Definujte rozsah auditu

první věc, kterou musíte udělat, je stanovit rozsah auditu. Ať už kontrolujete obecný stav bezpečnosti ve vaší organizaci nebo provádíte konkrétní audit zabezpečení sítě, bezpečnostní audit třetích stran nebo jakýkoli jiný, musíte vědět, na co byste se měli podívat a co byste měli přeskočit.

Chcete – li to provést, musíte nakreslit bezpečnostní obvod-hranici kolem všech vašich cenných aktiv. Tato hranice by měla být co nejmenší a měla by zahrnovat každé cenné aktivum, které máte a které vyžaduje ochranu. Budete muset zkontrolovat vše uvnitř této hranice a nedotkli byste se nic mimo ni.

nejlepší způsob, jak definovat bezpečnostní perimetr, je vytvořit seznam všech cenných aktiv, která má vaše společnost. To může být docela složité, protože společnosti často vynechávají věci, jako je čistě interní dokumentace, podrobně například různé firemní zásady a postupy, protože se zdá, že pro potenciálního pachatele nemá žádnou hodnotu. Tyto informace jsou však cenné pro samotnou společnost, protože v případě, že budou tyto dokumenty někdy ztraceny nebo zničeny (například kvůli selhání hardwaru nebo chybě zaměstnance), bude jejich obnovení trvat nějaký čas a peníze. Proto by měly být také zahrnuty do hlavního seznamu všech aktiv vyžadujících ochranu.

Definujte hrozby, kterým vaše data čelí

jakmile definujete svůj bezpečnostní obvod, musíte vytvořit seznam hrozeb, kterým vaše data čelí. Nejtěžší je najít správnou rovnováhu mezi tím, jak vzdálená je Hrozba a jak velký dopad by to mělo na váš konečný výsledek, pokud se to někdy stane. Například, pokud je přírodní katastrofa, jako je hurikán, relativně vzácná, ale může být zničující z hlediska financí; může být stále zařazen do seznamu.

všechny a všechny, nejčastější hrozby, které byste pravděpodobně měli zvážit, jsou následující:

  • přírodní katastrofy a fyzické porušení-jak bylo uvedeno výše, i když je to něco, co se děje zřídka, důsledky takové hrozby mohou být zničující,proto pravděpodobně budete muset mít pro případ kontroly zavedeny.
  • Malware a hackerské útoky-externí hackerské útoky jsou jednou z největších hrozeb pro bezpečnost dat a měly by být vždy brány v úvahu.
  • Ransomware-tento typ malwaru získal popularitu v posledních letech. Pokud pracujete ve zdravotnictví, vzdělání nebo finance, pravděpodobně byste měli dávat pozor na to.
  • útoky odmítnutí služby – vzestup zařízení IoT zaznamenal dramatický nárůst botnetů. Útoky odmítnutí služby jsou nyní rozšířenější a nebezpečnější než kdy jindy. Pokud vaše firma závisí na nepřetržité síťové službě, měli byste se určitě podívat na jejich zahrnutí.
  • škodliví zasvěcenci-to je hrozba, kterou ne každá společnost bere v úvahu,ale každá společnost čelí. Vaši vlastní zaměstnanci i dodavatelé třetích stran, kteří mají přístup k vašim datům, je mohou snadno uniknout nebo zneužít a vy byste je nemohli detekovat. Proto je nejlepší být připraven a zahrnout jej do vlastního seznamu hrozeb. Ale dříve, doporučujeme vám podívat se na srovnání řešení pro monitorování hrozeb.
  • Neúmyslní zasvěcenci – ne všechny zasvěcené útoky jsou prováděny ze zlého úmyslu. Zaměstnanec, který udělal čestnou chybu a náhodně unikl vaše data, je něco, co se v našem propojeném světě stalo příliš běžným. Rozhodně je třeba zvážit hrozbu.
  • Phishing a sociální inženýrství-hacker se častěji než ne pokusí získat přístup k vaší síti tím, že zacílí na své zaměstnance technikami sociálního inženýrství, což je prakticky přiměje, aby se dobrovolně vzdali svých pověření. To je určitě něco, na co byste měli být připraveni.

3. Vypočítejte rizika

jakmile vytvoříte seznam potenciálních hrozeb, kterým mohou vaše data čelit,musíte posoudit riziko každého z těchto hrozeb. Takové posouzení rizik vám pomůže stanovit cenovku pro každou hrozbu a správně stanovit priority, pokud jde o implementaci nových bezpečnostních kontrol. K tomu je třeba se podívat na následující věci:

  • vaše minulá zkušenost-ať už jste narazili na konkrétní hrozbu nebo ne, může mít vliv na pravděpodobnost, že se s ní v budoucnu setkáte. Pokud byla vaše společnost terčem útoku hackerů nebo odmítnutí služby, existuje velká šance, že se to stane znovu.
  • Obecné prostředí kybernetické bezpečnosti-podívejte se na současné trendy v kybernetické bezpečnosti. Jaké hrozby jsou stále populárnější a častější? Co jsou nové a vznikající hrozby? Jaká bezpečnostní řešení jsou stále populárnější?
  • stav průmyslu-podívejte se na zkušenosti vaší přímé konkurence, stejně jako hrozby, kterým vaše odvětví čelí. Pokud například pracujete ve zdravotnictví nebo ve vzdělávání, budete častěji čelit útokům zasvěcených osob, phishingovým útokům a ransomwaru, zatímco maloobchod může častěji čelit útokům odmítnutí služby a jinému malwaru.

zařízení potřebné ovládací prvky

jakmile zjistíte rizika spojená s každou hrozbou, jste až do posledního kroku-vytvoření kontrolního seznamu kontrol, které je třeba implementovat. Prozkoumejte zavedené ovládací prvky a vymýšlejte způsob, jak je vylepšit, nebo implementujte chybějící procesy.

mezi nejčastější bezpečnostní opatření, která můžete zvážit, patří:

  • zabezpečení fyzického serveru – pokud vlastníte své vlastní servery, měli byste k nim určitě zajistit fyzický přístup. To samozřejmě není problém, pokud si jednoduše pronajmete serverový prostor z datového centra. Současně by všechna zařízení IoT používaná ve vaší společnosti měla mít všechna výchozí hesla změněna a fyzický přístup k nim důkladně zabezpečen, aby se zabránilo pokusům o hackování.
  • pravidelné zálohování dat-zálohování dat je velmi efektivní v případě přírodní katastrofy nebo malwarového útoku, který vás poškozuje nebo uzamkne z vašich dat (ransomware). Ujistěte se, že všechny zálohy jsou prováděny tak často, jak je to možné, a vytvořit správný postup pro obnovení dat.
  • Firewall a anti-virus-to je cyber security 101 – ale musíte chránit svou síť správně nakonfigurovanými firewally a počítači antivirovými programy. Můžete se dozvědět více a prozkoumat dostupný antivirový software na antiviru.dobrý.
  • Anti-spam filter-správně nakonfigurovaný antispamový filtr může být velkým přínosem v boji proti phishingovým útokům a malwaru odeslaným poštou. Zatímco vaši zaměstnanci mohou vědět, že neklikají na žádné odkazy v e-mailu, je vždy lepší být v bezpečí, spíše než litovat.
  • řízení přístupu – existuje několik způsobů, jak řídit přístup a bylo by lepší dát je všechny na místo. Nejprve se musíte ujistit, že řídíte úroveň oprávnění, která uživatelé mají, a že při vytváření nových účtů používáte princip nejmenšího oprávnění. Kromě toho je dvoufaktorová autentizace nutností, protože výrazně zvyšuje bezpečnost přihlašovacího postupu a umožňuje vám vědět, kdo přesně přistupoval k vašim datům a kdy.
  • User action monitoring-software umožňuje videozáznam všeho, co uživatel dělá během relace, což vám umožní zkontrolovat každý incident v jeho správném kontextu. Nejen, že je to velmi efektivní, pokud jde o detekci zasvěcených hrozeb, je to také skvělý nástroj pro vyšetřování případných porušení a úniků, stejně jako skvělá odpověď na otázku, jak provést audit shody s it bezpečností, protože vám umožňuje vytvářet potřebná data pro takový audit.
  • povědomí o bezpečnosti zaměstnanců-za účelem ochrany vašich zaměstnanců před útoky phishingu a sociálního inženýrství a snížení četnosti neúmyslných chyb a zajištění dodržování všech bezpečnostních postupů je nejlepší je vzdělávat o nejlepší kybernetické bezpečnosti. Naučte své zaměstnance o hrozbách, kterým čelí oni i vaše společnost, a také o opatřeních, která jste zavedli v boji proti těmto hrozbám. Zvyšování povědomí zaměstnanců je skvělý způsob, jak je přeměnit z odpovědnosti na užitečné aktivum, pokud jde o kybernetickou bezpečnost.

závěr

4 výše uvedené jednoduché kroky – definování rozsahu auditu, definování hrozeb, posouzení rizik spojených s každou jednotlivou hrozbou, jakož i posouzení stávajících bezpečnostních kontrol a návrh nových kontrol a opatření, která mají být provedena – je vše, co musíte udělat, abyste mohli provést bezpečnostní audit.

vaše výstupy by měly představovat důkladné posouzení současného stavu vaší bezpečnosti a konkrétní doporučení, jak věci zlepšit. Data z takového self-auditu slouží k tomu, aby přispěla k vytvoření základní bezpečnostní základny, stejně jako k formulování bezpečnostní strategie vaší společnosti.

kybernetická bezpečnost je nepřetržitý proces a vlastní audity by měly být vašimi velkými pravidelnými milníky na této cestě k ochraně vašich dat.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.