4 nemme trin Sådan udfører du It-sikkerhedsrevision af din egen virksomhed
virksomheder ser ofte datasikkerhedsrevision som en stressende og påtrængende proces. Revisor går rundt og distraherer alle og blander sig i regelmæssig virksomhedsdrift. Nytten af at gennemføre revisioner er også noget op til en debat: er ikke regelmæssig risikovurdering nok til at danne sikkerhedsstrategi og holde dine data beskyttet? Og hvis du er genstand for overholdelsesbestemmelser vedrørende privat datasikkerhed, står du alligevel over for en officiel revision før eller senere. Ville du ikke have det bedre med at forberede dig på det, end at lave en egen IT-sikkerhedsrevision?
men i virkeligheden er selvrevisioner meget nyttige, da de opfylder et sæt specifikke mål. Selvrevisioner giver dig mulighed for at:
- Opret en sikkerhedsbaseline – resultater af flere selvrevisioner gennem årene tjener som en fantastisk pålidelig baseline til vurdering af din sikkerhedsydelse
- hjælp med at håndhæve sikkerhedsregler og – praksis – revisioner giver dig mulighed for at sikre dig, at alle cybersikkerhedsforanstaltninger, der er indført i din virksomhed, håndhæves grundigt og følges
- Bestem den reelle tilstand af din sikkerhed og formuler strategien for fremtiden-revision viser dig, hvordan tingene virkelig er på en meget mere detaljeret måde end risikovurdering nogensinde kunne. Det fremhæver ikke kun manglende ting, men tager også hensyn til eksisterende processer og viser hvorfor og hvordan de skal forbedres.
alt i alt er selvrevision et fantastisk nyttigt værktøj, når du skal vurdere din cybersikkerhed eller sørge for, at du er klar til en reel compliance-revision ned ad linjen. Det er en god praksis at foretage selvrevisioner temmelig ofte-ideelt set flere gange om året.
men hvordan man gennemfører en cybersikkerhedsrevision?
der er forskellige måder at indsamle de nødvendige data på, såsom adgangsstyring, overvågning af brugerhandlinger og medarbejdersporingsprogrammer, så du kan producere centraliserede rapporter til en grundig sikkerhedsvurdering. Det ville dog ikke være rimeligt at sige, at selvrevisioner er uden deres rimelige andel af ulemper, og vi vil berøre dem længere nede, når vi diskuterer selvrevision mere detaljeret.
men først, lad os se på fordele og ulemper ved hver af de to måder, du kan foretage selvrevision:
ekstern vs intern revision
når du beslutter at foretage en selvrevision, kan du enten gøre det internt med dine egne ressourcer eller indgå en ekstern revisor. Og valget mellem de to er ikke så skåret og tørt, som man skulle tro.
eksterne revisorer er gode til, hvad de gør. De bruger et sæt cybersikkerhedsrevisionsprogrammer, såsom sårbarhedsscannere og bringer deres egen store erfaring til bordet for at undersøge din sikkerhed og finde huller i den. Men den store ulempe for dem er, at de ikke er billige, og at finde den person med den nødvendige kvalifikation og erfaring blandt havet af tilbud kan være meget svært.
desuden vil succesen med en sådan revision i høj grad afhænge af kvaliteten af den kommunikation, der er etableret mellem din virksomhed og en revisor. Hvis en revisor ikke kan få de rigtige data eller få det sent, kan revisionen trække på, producere upålidelige resultater eller oppustet i omkostninger.
alt dette gør eksterne revisioner til en luksus snarere end en permanent løsning. De er gode at gøre en gang om året (hvis du har tid og penge til det) eller som en måde at forberede din virksomhed på en reel compliance-revision, men at gøre dem hvert kvartal kan være omkostningsbegrænsende.
interne revisioner er derimod nemme at udføre, og de kan være meget effektive som en kvartalsvurdering, der hjælper dig med at indsamle data til din sikkerhedsbaseline og kontrollere, om de nuværende politikker er effektive eller ej. Ulempen ved det er imidlertid, at interne revisorer ofte mangler den erfaring og de værktøjer, der er nødvendige for at matche kvaliteten af en professionel ekstern revision. Dette i sig selv er imidlertid ikke noget, der ikke kan løses ved blot at ansætte de rigtige mennesker og træne dem til jobbet.
samtidig er interne revisioner ikke kun billige, men også effektive med hensyn til proces. Det er meget lettere for en intern medarbejder eller afdeling at samle alle de nødvendige data uden den vanskelige proces med at etablere effektiv kommunikation og uden at forstyrre eksisterende arbejdsgang i virksomheden.
og selvom interne revisioner kan se komplicerede ud i teorien, er det i virkeligheden alt, hvad du skal gøre, at gennemføre en række enkle trin og få de leverancer, du ønsker. Dernæst vil vi diskutere disse trin mere detaljeret.
4 enkle trin til selvrevision
1. Definer omfanget af en revision
den første ting du skal gøre er at fastlægge omfanget af din revision. Uanset om du kontrollerer den generelle sikkerhedstilstand i din organisation eller foretager en bestemt netværkssikkerhedsrevision, tredjeparts sikkerhedsrevision eller noget andet, skal du vide, hvad du skal se på, og hvad du skal springe over.
for at gøre dette skal du tegne en sikkerhedsperimeter – en grænse omkring alle dine værdifulde aktiver. Denne grænse skal være så lille som muligt og omfatte alle værdifulde aktiver, du har, og som kræver beskyttelse. Du bliver nødt til at revidere alt inden for denne grænse og ville ikke røre ved noget uden for det.
den bedste måde at definere sikkerhed perimeter er at oprette en liste over alle værdifulde aktiver, som din virksomhed har. Dette kan være ret vanskeligt, fordi virksomheder ofte udelader ting som rent intern dokumentation, der beskriver for eksempel forskellige virksomhedspolitikker og procedurer, fordi det ser ud til at have nogen værdi for den potentielle gerningsmand. Sådanne oplysninger er imidlertid værdifulde for virksomheden selv, for hvis disse dokumenter nogensinde går tabt eller ødelægges (for eksempel på grund af maskinfejl eller medarbejderfejl), vil det tage lidt tid og penge at genskabe dem. Derfor bør de også medtages i din masterliste over alle aktiver, der kræver beskyttelse.
Definer de trusler, dine data står over for
når du har defineret din sikkerhedsperimeter, skal du oprette en liste over trusler, som dine data står over for. Den sværeste del er at finde en rette balance mellem, hvor Fjern en trussel er, og hvor stor indflydelse det ville have på din bundlinje, hvis det nogensinde sker. For eksempel, hvis en naturkatastrofe, såsom en orkan, er relativt sjælden, men kan være ødelæggende med hensyn til økonomi; det kan stadig være med på listen.
alle og alle, de mest almindelige trusler, som du sandsynligvis bør overveje at inkludere, er følgende:
- naturkatastrofer og fysiske overtrædelser – som nævnt ovenfor, mens dette er noget, der sker sjældent, kan konsekvenserne af en sådan trussel være ødelæggende, derfor skal du sandsynligvis have kontrol på plads i tilfælde af.
- hackingangreb – eksterne hackingangreb er en af de største trusler mod datasikkerhed derude og bør altid overvejes.
- løsepenge – denne type ondsindet program vundet popularitet i de seneste år. Hvis du arbejder inden for sundhedspleje, uddannelse eller økonomi, skal du sandsynligvis passe på det.
- Denial of service – angreb-stigningen af IoT-enheder oplevede en dramatisk stigning i botnets. Denial of service-angreb er nu mere udbredt og farligere end nogensinde. Hvis din virksomhed er afhængig af uafbrudt netværkstjeneste, bør du helt sikkert undersøge herunder dem.
- ondsindede insidere – dette er en trussel, som ikke alle virksomheder tager højde for, men alle virksomheder står overfor. Både dine egne medarbejdere og tredjepartsleverandører med adgang til dine data kan let lække dem eller misbruge dem, og du ville ikke være i stand til at opdage dem. Derfor er det bedst at være klar og inkludere det i din egen trusselliste. Men før vil vi foreslå, at du kigger gennem sammenligningen af trusselovervågningsløsninger.
- utilsigtede insidere – ikke alle insiderangreb udføres af ondsindet hensigt. Den medarbejder, der begår en ærlig fejl og lækker dine data ved et uheld, er noget, der blev alt for almindeligt i vores forbundne verden. Absolut en trussel at overveje.
- Phishing og social engineering – oftere end ikke en hacker vil forsøge at få adgang til dit netværk ved at målrette dine medarbejdere med social engineering teknikker, praktisk gør dem opgive deres legitimationsoplysninger frivilligt. Dette er bestemt noget, du skal være klar til.
3. Beregn risiciene
når du har oprettet listen over potentielle trusler, som dine data kan blive udsat for, skal du vurdere risikoen for, at hver af disse trusler skyder. En sådan risikovurdering vil hjælpe dig med at sætte en pris på hver trussel og prioritere korrekt, når det kommer til implementering af nye sikkerhedskontroller. For at gøre dette skal du se på følgende ting:
- din tidligere erfaring-uanset om du er stødt på en specifik trussel eller ej, kan det påvirke sandsynligheden for, at du støder på den i fremtiden. Hvis din virksomhed var et mål for hacking eller denial of service-angreb, er der en god chance for, at det vil ske igen.
- generelt cybersikkerhedslandskab – se på de aktuelle tendenser inden for cybersikkerhed. Hvilke trusler bliver stadig mere populære og hyppige? Hvad er nye og nye trusler? Hvilke sikkerhedsløsninger bliver mere populære?
- industriens tilstand – se på oplevelsen af din direkte konkurrence såvel som trusler, som din branche står over for. Hvis du f.eks. arbejder inden for sundhedspleje eller uddannelse, vil du oftere blive udsat for insiderangreb, phishing-angreb og løsepenge, mens detailhandlen kan blive udsat for lammelsesangreb og andre skadelige programmer oftere.
enhed de nødvendige kontroller
når du har etableret de risici, der er forbundet med hver trussel, er du klar til det sidste trin – oprettelse af IT-sikkerhedsrevisionscheckliste over kontroller, som du skal implementere. Undersøg kontroller, der er på plads, og udtænke en måde at forbedre dem på, eller implementere processer, der mangler.
de mest almindelige sikkerhedsforanstaltninger, som du kan overveje, omfatter:
- Physical server security-hvis du ejer dine egne servere, bør du helt sikkert sikre en fysisk adgang til dem. Selvfølgelig er dette ikke et problem, hvis du blot lejer serverplads fra et datacenter. Samtidig skal alle IoT-enheder, der er i brug i din virksomhed, have alle deres standardadgangskoder ændret og fysisk adgang til dem grundigt sikret for at forhindre hackingforsøg.
- regelmæssig data backup – data backup er meget effektiv i tilfælde af naturkatastrofer, eller ondsindede angreb, der korrumperer eller låser dig ud af dine data. Sørg for, at alle dine sikkerhedskopier udføres så ofte som muligt, og opret en ordentlig procedure til gendannelse af dine data.
- brandvæg og anti-virus – dette er cyber security 101, men du skal beskytte dit netværk med korrekt konfigurerede brandvægge og dine computere med antivirusprogrammer. Du kan lære mere og undersøge tilgængelige antivirusprogrammer på Antivirus.bedst.
- Anti-spam filter – korrekt konfigureret anti-spam filter kan være en stor velsignelse i kampen mod phishing-angreb og ondsindede programmer sendt via mail. Mens dine medarbejdere måske ved, at de ikke klikker på nogen links i en e-mail, er det altid bedre at være sikker snarere end ked af det.
- adgangskontrol – der er flere måder at kontrollere adgangen på, og du ville være bedre at sætte dem alle på plads. Først og fremmest skal du sørge for, at du kontrollerer niveauet for privilegiebrugere, og at du bruger princippet om mindst privilegium, når du opretter nye konti. Bortset fra det er tofaktorautentificering et must, da det i høj grad øger sikkerheden ved login-proceduren og giver dig mulighed for at vide, hvem der nøjagtigt har fået adgang til dine data, og hvornår.
- bruger action overvågning – programmel gør en videooptagelse af alt, hvad brugeren gør i løbet af sessionen, så du kan gennemgå hver hændelse i sin rette sammenhæng. Dette er ikke kun meget effektivt, når det kommer til at opdage insidertrusler, det er også et godt værktøj til at undersøge eventuelle brud og lækager samt et godt svar på et spørgsmål om, hvordan man udfører it-sikkerhedsoverensstemmelsesrevision, da det giver dig mulighed for at producere de nødvendige data til en sådan revision.
- medarbejder sikkerhed bevidsthed – for at beskytte dine medarbejdere fra phishing og social engineering angreb, samt reducere hyppigheden af utilsigtede fejl og sørg for, at alle sikkerhedsprocedurer følges igennem, er det bedst at uddanne dem på bedste cybersikkerhed. Lær dine medarbejdere om trusler, som både de og din virksomhed står over for, samt foranstaltninger, du har indført for at bekæmpe disse trusler. At øge medarbejdernes bevidsthed er en fantastisk måde at omdanne dem fra en forpligtelse til et nyttigt aktiv, når det kommer til cybersikkerhed.
konklusion
de 4 enkle trin, der er nævnt ovenfor, – definition af omfanget af en revision, definition af truslerne, vurdering af de risici, der er forbundet med hver enkelt trussel, samt vurdering af eksisterende sikkerhedskontroller og udformning af de nye kontroller og foranstaltninger, der skal implementeres – er alt hvad du skal gøre for at gennemføre en sikkerhedsrevision.
dine leverancer skal udgøre en grundig vurdering af den aktuelle tilstand af din sikkerhed samt specifikke anbefalinger om, hvordan du forbedrer tingene. Dataene fra en sådan selvrevision bruges til at bidrage til at etablere en sikkerhedsbasis, samt til at formulere sikkerhedsstrategi for din virksomhed.
Cybersikkerhed er en kontinuerlig proces, og selvrevisioner bør være dine store regelmæssige milepæle på denne vej for at beskytte dine data.