4 Einfache Schritte zur Durchführung des IT-Sicherheitsaudits Ihres eigenen Unternehmens
Unternehmen betrachten das Datensicherheitsaudit häufig als stressigen und aufdringlichen Prozess. Auditor geht herum und lenkt alle ab und mischt sich in den regulären Geschäftsbetrieb ein. Die Nützlichkeit der Durchführung von Audits steht ebenfalls zur Debatte: Reicht eine regelmäßige Risikobewertung nicht aus, um eine Sicherheitsstrategie zu entwickeln und Ihre Daten zu schützen? Und wenn Sie Compliance-Vorschriften zur privaten Datensicherheit unterliegen, stehen Sie früher oder später ohnehin vor einem offiziellen Audit. Wäre es nicht besser, sich darauf vorzubereiten, als ein eigenes IT-Sicherheitsaudit durchzuführen?
In Wirklichkeit sind Selbstaudits jedoch sehr nützlich, da sie eine Reihe spezifischer Ziele erfüllen. Self-Audits ermöglichen Ihnen:
- Festlegung einer Security Baseline – Die Ergebnisse mehrerer Self-Audits im Laufe der Jahre dienen als fantastisch zuverlässige Basis für die Bewertung Ihrer Sicherheitsleistung
- Helfen Sie bei der Durchsetzung von Sicherheitsvorschriften und –praktiken – Mit Audits können Sie sicherstellen, dass alle in Ihrem Unternehmen ergriffenen Cybersicherheitsmaßnahmen gründlich durchgesetzt und befolgt werden
- Bestimmen Sie den tatsächlichen Zustand Ihrer Sicherheit und formulieren Sie die Strategie für die Zukunft – Audit zeigt Ihnen viel detaillierter, wie es wirklich ist, als Risikobeurteilung kann es immer geben. Es hebt nicht nur fehlende Dinge hervor, sondern berücksichtigt auch bestehende Prozesse und zeigt, warum und wie sie verbessert werden sollten.
Alles in allem ist Self-Auditing ein fantastisch nützliches Werkzeug, wenn Sie Ihre Cybersicherheit bewerten oder sicherstellen müssen, dass Sie für ein echtes Compliance-Audit bereit sind. Es ist eine gute Praxis, Selbstprüfungen ziemlich oft durchzuführen – idealerweise mehrmals im Jahr.
Aber wie führt man ein Cybersicherheitsaudit durch?
Es gibt verschiedene Möglichkeiten, die erforderlichen Daten zu erfassen, z. B. Zugriffsverwaltung, Überwachung von Benutzeraktionen und Software zur Mitarbeiterverfolgung, mit der Sie zentralisierte Berichte für eine gründliche Sicherheitsbewertung erstellen können. Es wäre jedoch nicht fair zu sagen, dass Selbstprüfungen ohne ihren gerechten Anteil an Nachteilen sind, und wir werden sie weiter unten ansprechen, wenn wir die Selbstprüfung ausführlicher diskutieren.
Aber zuerst schauen wir uns die Vor- und Nachteile der beiden Möglichkeiten an, wie Sie eine Selbstprüfung durchführen können:
Externes vs. internes Audit
Wenn Sie sich für ein Self-Audit entscheiden, können Sie es entweder intern mit Ihren eigenen Ressourcen durchführen oder einen externen Auditor beauftragen. Und die Wahl zwischen den beiden ist nicht so geschnitten und trocken, wie man denken würde.
Externe Prüfer sind großartig in dem, was sie tun. Sie verwenden eine Reihe von Cyber-Sicherheits-Auditing-Software, wie Schwachstellenscanner und bringen ihre eigene große Erfahrung mit, um Ihre Sicherheit zu untersuchen und Lücken darin zu finden. Der große Nachteil für sie ist jedoch, dass sie nicht billig sind und es sehr schwierig sein kann, die Person mit der erforderlichen Qualifikation und Erfahrung im Meer der Angebote zu finden.
Darüber hinaus hängt der Erfolg eines solchen Audits stark von der Qualität der Kommunikation zwischen Ihrem Unternehmen und einem Auditor ab. Wenn ein Auditor nicht die richtigen Daten erhält oder sie zu spät erhält, kann sich das Audit hinziehen, unzuverlässige Ergebnisse liefern oder die Kosten erhöhen.
All dies macht externe Audits eher zu einem Luxus als zu einer dauerhaften Lösung. Sie sind großartig, um einmal im Jahr zu tun (wenn Sie die Zeit und das Geld dafür haben), oder als eine Möglichkeit, Ihr Unternehmen für eine echte Compliance-Prüfung vorzubereiten, aber sie jedes Quartal zu tun, kann unerschwinglich sein.
Interne Audits hingegen sind einfach durchzuführen und können als vierteljährliche Bewertung sehr effektiv sein, um Daten für Ihre Sicherheitsbasis zu sammeln und zu überprüfen, ob die aktuellen Richtlinien wirksam sind oder nicht. Der Nachteil dabei ist jedoch, dass internen Auditoren häufig die Erfahrung und die Werkzeuge fehlen, die erforderlich sind, um die Qualität einer professionellen externen Revision zu erreichen. Dies an und für sich ist jedoch nicht etwas, das nicht gelöst werden kann, indem einfach die richtigen Leute eingestellt und für den Job geschult werden.
Gleichzeitig sind interne Audits nicht nur günstig, sondern auch prozessual effizient. Für einen internen Mitarbeiter oder eine interne Abteilung ist es viel einfacher, alle erforderlichen Daten zu sammeln, ohne den mühsamen Prozess des Aufbaus einer effektiven Kommunikation und ohne den bestehenden Workflow innerhalb des Unternehmens zu stören.
Und während interne Audits in der Theorie kompliziert aussehen können, müssen Sie in der Realität nur eine Reihe einfacher Schritte ausführen und die gewünschten Ergebnisse erzielen. Als nächstes werden wir diese Schritte ausführlicher besprechen.
4 Einfache Schritte zur Selbstprüfung
1. Definieren Sie den Umfang eines Audits
Als erstes müssen Sie den Umfang Ihres Audits festlegen. Unabhängig davon, ob Sie den allgemeinen Sicherheitsstatus in Ihrer Organisation überprüfen oder ein bestimmtes Netzwerksicherheitsaudit, ein Sicherheitsaudit eines Drittanbieters oder ein anderes Audit durchführen, müssen Sie wissen, was Sie beachten und was Sie überspringen sollten.
Dazu müssen Sie einen Sicherheitsbereich zeichnen – eine Grenze um alle Ihre wertvollen Vermögenswerte. Diese Grenze sollte so klein wie möglich sein und jedes wertvolle Gut enthalten, das Sie haben und das geschützt werden muss. Sie müssen alles innerhalb dieser Grenze überprüfen und nichts außerhalb davon berühren.
Der beste Weg, den Sicherheitsumfang zu definieren, besteht darin, eine Liste aller wertvollen Assets zu erstellen, über die Ihr Unternehmen verfügt. Dies kann ziemlich schwierig sein, da Unternehmen häufig Dinge wie rein interne Dokumentationen auslassen, in denen beispielsweise verschiedene Unternehmensrichtlinien und -verfahren aufgeführt sind, da sie für den potenziellen Täter keinen Wert zu haben scheinen. Solche Informationen sind jedoch für das Unternehmen selbst wertvoll, da für den Fall, dass diese Dokumente jemals verloren gehen oder zerstört werden (z. B. aufgrund eines Hardwarefehlers oder eines Mitarbeiterfehlers), die Wiederherstellung einige Zeit und Geld in Anspruch nimmt. Daher sollten sie auch in Ihre Masterliste aller zu schützenden Assets aufgenommen werden.
Definieren Sie die Bedrohungen, denen Ihre Daten ausgesetzt sind
Sobald Sie Ihren Sicherheitsumfang definiert haben, müssen Sie eine Liste der Bedrohungen erstellen, denen Ihre Daten ausgesetzt sind. Der schwierigste Teil besteht darin, ein ausgewogenes Verhältnis zwischen der Entfernung einer Bedrohung und den Auswirkungen auf Ihr Endergebnis zu finden, falls dies jemals der Fall sein sollte. Zum Beispiel, wenn eine Naturkatastrophe, wie ein Hurrikan, relativ selten ist, aber in Bezug auf Finanzen verheerend sein kann; es kann immer noch in die Liste aufgenommen werden.
Alles in allem sind die häufigsten Bedrohungen, die Sie wahrscheinlich in Betracht ziehen sollten, die folgenden:
- Naturkatastrophen und physische Verletzungen – wie oben erwähnt, obwohl dies selten vorkommt, können die Folgen einer solchen Bedrohung verheerend sein.
- Malware– und Hacking-Angriffe – Externe Hacking-Angriffe sind eine der größten Bedrohungen für die Datensicherheit und sollten immer berücksichtigt werden.
- Ransomware – Diese Art von Malware hat in den letzten Jahren an Popularität gewonnen. Wenn Sie im Gesundheitswesen, in der Bildung oder in den Finanzen arbeiten, sollten Sie wahrscheinlich darauf achten.
- Denial–of-Service-Angriffe – Der Anstieg der IoT-Geräte führte zu einem dramatischen Anstieg der Botnetze. Denial-of-Service-Angriffe sind heute verbreiteter und gefährlicher denn je. Wenn Ihr Unternehmen auf ununterbrochenen Netzwerkdienst angewiesen ist, sollten Sie auf jeden Fall prüfen, diese einzubeziehen.
- Böswillige Insider – Dies ist eine Bedrohung, die nicht jedes Unternehmen berücksichtigt, sondern jedes Unternehmen. Sowohl Ihre eigenen Mitarbeiter als auch Drittanbieter mit Zugriff auf Ihre Daten können diese leicht verlieren oder missbrauchen, und Sie können sie nicht erkennen. Daher ist es am besten, bereit zu sein und es in Ihre eigene Bedrohungsliste aufzunehmen. Aber bevor, wir würden vorschlagen, dass Sie durch den Vergleich von Bedrohungsüberwachungslösungen aussehen.
- Unbeabsichtigte Insider – Nicht alle Insider-Angriffe erfolgen aus böswilliger Absicht. Der Mitarbeiter, der einen ehrlichen Fehler macht und versehentlich Ihre Daten verliert, ist in unserer vernetzten Welt allzu häufig geworden. Definitiv eine Bedrohung zu berücksichtigen.
- Phishing und Social Engineering – In den meisten Fällen versucht ein Hacker, Zugang zu Ihrem Netzwerk zu erhalten, indem er Ihre Mitarbeiter mit Social-Engineering-Techniken anspricht und sie praktisch dazu bringt, ihre Anmeldeinformationen freiwillig aufzugeben. Dies ist definitiv etwas, worauf Sie vorbereitet sein sollten.
3. Berechnen Sie die Risiken
Sobald Sie die Liste der potenziellen Bedrohungen erstellt haben, denen Ihre Daten ausgesetzt sein könnten, müssen Sie das Risiko jeder dieser Bedrohungen bewerten. Eine solche Risikobewertung hilft Ihnen dabei, jeder Bedrohung einen Preis zu geben und bei der Implementierung neuer Sicherheitskontrollen die richtigen Prioritäten zu setzen. Um dies zu tun, müssen Sie die folgenden Dinge betrachten:
- Ihre bisherigen Erfahrungen – Ob Sie auf eine bestimmte Bedrohung gestoßen sind oder nicht, kann sich auf die Wahrscheinlichkeit auswirken, dass Sie in Zukunft darauf stoßen. Wenn Ihr Unternehmen Ziel eines Hacking- oder Denial-of-Service-Angriffs war, besteht eine gute Chance, dass dies erneut geschieht.
- Allgemeine Cybersicherheitslandschaft – Schauen Sie sich die aktuellen Trends in der Cybersicherheit an. Welche Bedrohungen werden immer beliebter und häufiger? Was sind neue und aufkommende Bedrohungen? Welche Sicherheitslösungen werden immer beliebter?
- Stand der Branche – Sehen Sie sich die Erfahrungen Ihrer direkten Konkurrenz sowie die Bedrohungen an, denen Ihre Branche ausgesetzt ist. Wenn Sie beispielsweise im Gesundheitswesen oder im Bildungswesen arbeiten, werden Sie häufiger Insider-Angriffen, Phishing-Angriffen und Ransomware ausgesetzt sein, während der Einzelhandel möglicherweise häufiger mit Denial-of-Service-Angriffen und anderer Malware konfrontiert ist.
Festlegen der erforderlichen Kontrollen
Sobald Sie die mit jeder Bedrohung verbundenen Risiken festgelegt haben, können Sie den letzten Schritt ausführen – die Erstellung einer Checkliste für IT-Sicherheitsaudits mit Kontrollen, die Sie implementieren müssen. Untersuchen Sie vorhandene Kontrollen und entwickeln Sie einen Weg, um sie zu verbessern, oder implementieren Sie Prozesse, die fehlen.
Zu den häufigsten Sicherheitsmaßnahmen, die Sie in Betracht ziehen können, gehören:
- Physische Serversicherheit – Wenn Sie eigene Server besitzen, sollten Sie auf jeden Fall einen physischen Zugriff darauf sichern. Dies ist natürlich kein Problem, wenn Sie einfach Serverplatz von einem Rechenzentrum mieten. Gleichzeitig sollten bei allen in Ihrem Unternehmen verwendeten IoT-Geräten alle Standardkennwörter geändert und der physische Zugriff auf sie gründlich gesichert werden, um Hacking-Versuche zu verhindern.
- Regelmäßige Datensicherung – Die Datensicherung ist sehr effektiv im Falle einer Naturkatastrophe oder eines Malware-Angriffs, der Ihre Daten beschädigt oder sperrt (Ransomware). Stellen Sie sicher, dass alle Ihre Sicherungen so häufig wie möglich durchgeführt werden, und legen Sie ein geeignetes Verfahren zur Wiederherstellung Ihrer Daten fest.
- Firewall und Virenschutz – Dies ist Cyber Security 101, aber Sie müssen Ihr Netzwerk mit korrekt konfigurierten Firewalls und Ihre Computer mit Virenschutz schützen. Sie können mehr erfahren und verfügbare Antivirensoftware unter Antivirus recherchieren.Best.
- Anti-Spam–Filter – Ein korrekt konfigurierter Anti-Spam-Filter kann ein großer Segen bei der Bekämpfung von Phishing-Angriffen und Malware sein, die per E-Mail gesendet werden. Während Ihre Mitarbeiter möglicherweise wissen, dass sie keine Links in einer E-Mail anklicken, ist es immer besser, auf Nummer sicher zu gehen, als sich zu entschuldigen.
- Zugriffskontrolle – Es gibt mehrere Möglichkeiten, den Zugriff zu steuern, und Sie sollten besser alle einrichten. Zunächst müssen Sie sicherstellen, dass Sie die Berechtigung der Benutzer steuern und beim Erstellen neuer Konten das Prinzip der geringsten Berechtigung verwenden. Abgesehen davon ist die Zwei-Faktor-Authentifizierung ein Muss, da sie die Sicherheit des Anmeldevorgangs erheblich erhöht und es Ihnen ermöglicht, genau zu wissen, wer wann auf Ihre Daten zugegriffen hat.
- User Action Monitoring – Software macht eine Videoaufzeichnung von allem, was der Benutzer während der Sitzung tut, so dass Sie jeden Vorfall in seinem richtigen Kontext überprüfen können. Dies ist nicht nur sehr effektiv, wenn es darum geht, Insider-Bedrohungen zu erkennen, es ist auch ein großartiges Werkzeug zur Untersuchung von Verstößen und Lecks sowie eine großartige Antwort auf die Frage, wie ein IT-Sicherheits-Compliance-Audit durchzuführen ist, da Sie damit die erforderlichen Daten für ein solches Audit erstellen können.
- Employee Security Awareness – Um Ihre Mitarbeiter vor Phishing- und Social-Engineering-Angriffen zu schützen, die Häufigkeit unbeabsichtigter Fehler zu verringern und sicherzustellen, dass alle Sicherheitsverfahren befolgt werden, ist es am besten, sie über die beste Cybersicherheit aufzuklären. Informieren Sie Ihre Mitarbeiter über Bedrohungen, denen sowohl sie als auch Ihr Unternehmen ausgesetzt sind, sowie über Maßnahmen, die Sie zur Bekämpfung dieser Bedrohungen ergriffen haben. Die Sensibilisierung der Mitarbeiter ist eine großartige Möglichkeit, sie von einer Verbindlichkeit in ein nützliches Gut zu verwandeln, wenn es um Cybersicherheit geht.
Fazit
Die 4 oben genannten einfachen Schritte – Definition des Umfangs eines Audits, Definition der Bedrohungen, Bewertung der mit jeder einzelnen Bedrohung verbundenen Risiken sowie Bewertung bestehender Sicherheitskontrollen und Entwicklung der neuen Kontrollen und Maßnahmen, die implementiert werden sollen – sind alles, was Sie tun müssen, um ein Sicherheitsaudit durchzuführen.
Ihre Ergebnisse sollten eine gründliche Bewertung des aktuellen Zustands Ihrer Sicherheit sowie spezifische Empfehlungen zur Verbesserung der Dinge darstellen. Die Daten aus einer solchen Selbstprüfung werden verwendet, um zur Festlegung einer Sicherheitsgrundlage sowie zur Formulierung einer Sicherheitsstrategie Ihres Unternehmens beizutragen.
Cybersicherheit ist ein kontinuierlicher Prozess, und Selbstaudits sollten Ihre großen regelmäßigen Meilensteine auf diesem Weg sein, um Ihre Daten zu schützen.