4 Easy Steps How to Conduct IT Security Audit of Your Own Company
a vállalkozások gyakran stresszes és tolakodó folyamatnak tekintik az adatbiztonsági auditot. Az Auditor körbejár mindenkit, elterelve a figyelmét, és beleavatkozva a cég rendes működésébe. Az ellenőrzések hasznossága szintén vita tárgyát képezi: a rendszeres kockázatértékelés nem elegendő a biztonsági stratégia kialakításához és az adatok védelméhez? És ha Ön a személyes adatok biztonságával kapcsolatos megfelelőségi előírások hatálya alá tartozik, akkor előbb-utóbb hivatalos ellenőrzéssel kell szembenéznie. Nem lenne jobb, ha erre készülne, mint saját informatikai biztonsági auditot végezni?
a valóságban azonban az önellenőrzések nagyon hasznosak, mivel konkrét célokat teljesítenek. Az önellenőrzés lehetővé teszi, hogy:
- hozzon létre egy biztonsági alapvonalat – az évek során végzett többszörös önellenőrzések eredményei fantasztikusan megbízható alapként szolgálnak a biztonsági teljesítmény értékeléséhez
- segítsen érvényesíteni a biztonsági szabályokat és gyakorlatokat-az ellenőrzések lehetővé teszik, hogy megbizonyosodjon arról, hogy a vállalatnál bevezetett összes kiberbiztonsági intézkedést alaposan végrehajtják és követik
- határozza meg biztonságának valós állapotát és fogalmazza meg a jövő stratégiáját – az ellenőrzés megmutatja, hogy a dolgok valójában sokkal részletesebb módon vannak, mint kockázatértékelés valaha is. Nem csak a hiányzó dolgokat emeli ki, hanem figyelembe veszi a meglévő folyamatokat is, és megmutatja, miért és hogyan kell javítani őket.
mindent egybevetve, az önellenőrzés fantasztikusan hasznos eszköz, amikor fel kell mérnie a kiberbiztonságot, vagy meg kell győződnie arról, hogy készen áll-e egy valódi megfelelőségi ellenőrzésre. Jó gyakorlat az önellenőrzések meglehetősen gyakori elvégzése-ideális esetben évente többször.
de hogyan kell elvégezni a kiberbiztonsági ellenőrzést?
a szükséges adatok összegyűjtésének számos módja van, például hozzáférés-kezelés, felhasználói műveletek figyelése és alkalmazottkövető szoftver, amely lehetővé teszi, hogy központosított jelentéseket készítsen az alapos biztonsági értékeléshez. Azonban nem lenne igazságos azt mondani, hogy az önellenőrzések nem rendelkeznek a hátrányaik méltányos részével, és ezeket tovább fogjuk érinteni, amikor részletesebben tárgyaljuk az önellenőrzést.
de először nézzük meg az önellenőrzés két módjának előnyeit és hátrányait:
külső vs belső ellenőrzés
amikor önellenőrzés mellett dönt, azt belsőleg is elvégezheti saját forrásaival, vagy külső könyvvizsgálóval szerződhet. És a kettő közötti választás nem olyan egyszerű, mint gondolnánk.
a külső auditorok nagyszerűek abban, amit csinálnak. Egy sor kiberbiztonsági auditáló szoftvert használnak, mint például a sebezhetőségi szkennerek, és saját hatalmas tapasztalataikat hozzák az asztalra annak érdekében, hogy megvizsgálják a biztonságot és megtalálják a lyukakat. Azonban a nagy hátránya, hogy számukra az, hogy nem olcsó, és megtalálni a személy a szükséges képesítéssel és tapasztalattal között a tenger kínál nagyon nehéz lehet.
ezenkívül az ilyen audit sikere nagymértékben függ a vállalat és a könyvvizsgáló közötti kommunikáció minőségétől. Ha a könyvvizsgáló nem tudja megszerezni a megfelelő adatokat, vagy későn kapja meg őket, akkor az ellenőrzés elhúzódhat, megbízhatatlan eredményeket hozhat, vagy felfújhatja a költségeket.
mindez a külső auditokat luxussá, nem pedig állandó megoldássá teszi. Nagyszerűek évente egyszer (ha van időd és pénzed), vagy arra, hogy felkészítsd a cégedet egy valódi megfelelőségi ellenőrzésre, de minden negyedévben költséges lehet.
a belső ellenőrzések viszont könnyen elvégezhetők, és negyedéves értékelésként nagyon hatékonyak lehetnek, segítve az adatok gyűjtését a biztonsági alapvonalhoz, és ellenőrizni, hogy a jelenlegi irányelvek hatékonyak-e vagy sem. Ennek hátránya azonban, hogy a belső ellenőrök gyakran nem rendelkeznek a szakmai külső ellenőrzés minőségéhez szükséges tapasztalattal és eszközökkel. Ez azonban önmagában nem olyan dolog, amit nem lehet megoldani egyszerűen a megfelelő emberek felvételével és a munkára való képzéssel.
ugyanakkor a belső ellenőrzések nemcsak olcsók, hanem folyamat szempontjából is hatékonyak. A belső alkalmazott vagy osztály számára sokkal könnyebb összegyűjteni az összes szükséges adatot a hatékony kommunikáció kialakításának fáradságos folyamata nélkül, a vállalaton belüli meglévő munkafolyamat megzavarása nélkül.
és bár a belső auditok elméletileg bonyolultnak tűnhetnek, a valóságban mindössze annyit kell tennie, hogy elvégez egy sor egyszerű lépést, és megkapja a kívánt eredményeket. Ezután részletesebben tárgyaljuk ezeket a lépéseket.
4 egyszerű lépés az önellenőrzéshez
1. Az ellenőrzés hatókörének meghatározása
az első dolog, amit meg kell tennie, az ellenőrzés hatókörének meghatározása. Függetlenül attól, hogy ellenőrzi a szervezet általános biztonsági állapotát, vagy elvégez egy speciális hálózati biztonsági ellenőrzést, harmadik fél biztonsági ellenőrzését vagy bármi mást, tudnia kell, hogy mit kell megnéznie, és mit kell kihagynia.
ehhez meg kell rajzolnia egy biztonsági kerületet – egy határt az összes értékes eszköz körül. Ennek a határnak a lehető legkisebbnek kell lennie, és tartalmaznia kell minden értékes eszközt, amely védelmet igényel. Mindent meg kell vizsgálnod ezen a határon belül, és nem érintenél semmit azon kívül.
a biztonsági kerület meghatározásának legjobb módja az, ha létrehoz egy listát a vállalat összes értékes eszközéről. Ez meglehetősen trükkös lehet, mert a vállalatok gyakran kihagynak olyan dolgokat, mint a tisztán belső dokumentáció, például a különböző vállalati politikák és eljárások részletezése, mert úgy tűnik, hogy nincs értéke a potenciális elkövető számára. Az ilyen információk azonban értékesek a vállalat számára, mert abban az esetben, ha ezek a dokumentumok valaha elvesznek vagy megsemmisülnek (például hardverhiba vagy munkavállalói hiba miatt), időbe és pénzbe telik, hogy újra létrehozzák őket. Ezért ezeket fel kell venni a védelmet igénylő összes eszköz fő listájába is.
az adatok fenyegetéseinek meghatározása
miután meghatározta a biztonsági kerületet, létre kell hoznia az adatok fenyegetéseinek listáját. A legnehezebb az, hogy megfelelő egyensúlyt találjunk a fenyegetés távolsága és az, hogy mekkora hatással lenne az alsó sorodra, ha valaha is megtörténik. Például, ha egy természeti katasztrófa, például egy hurrikán, viszonylag ritka, de pénzügyileg pusztító lehet; továbbra is szerepelhet a listán.
a leggyakoribb fenyegetések, amelyeket valószínűleg figyelembe kell vennie, a következők:
- természeti katasztrófák és fizikai jogsértések-amint azt fentebb említettük, bár ez ritkán fordul elő, az ilyen fenyegetés következményei pusztítóak lehetnek, ezért valószínűleg szükség van a helyén lévő ellenőrzésekre.
- Malware és hacker támadások – a külső hacker támadások az egyik legnagyobb veszélyt jelentik az adatbiztonságra, és mindig figyelembe kell venni.
- Ransomware-ez a fajta malware gyűjtött népszerűsége az elmúlt években. Ha az egészségügyben, az oktatásban vagy a pénzügyekben dolgozik, valószínűleg figyelnie kell rá.
- szolgáltatásmegtagadási támadások – az IoT eszközök növekedése drámai növekedést mutatott a botnetek számában. A szolgáltatásmegtagadási támadások elterjedtebbek és veszélyesebbek, mint valaha. Ha vállalkozása a megszakítás nélküli hálózati szolgáltatástól függ, feltétlenül meg kell vizsgálnia azokat is.
- rosszindulatú bennfentesek – ez egy olyan fenyegetés, amelyet nem minden vállalat vesz figyelembe, de minden vállalat szembesül. Mind a saját alkalmazottai, mind az adataihoz hozzáféréssel rendelkező harmadik felek könnyen kiszivárogtathatják vagy visszaélhetnek, és nem fogja tudni észlelni. Ezért a legjobb, ha készen áll, és tartalmazza azt a saját fenyegetések listáját. De mielőtt, azt javasoljuk, hogy nézd át az összehasonlítás fenyegetésfigyelő megoldások.
- véletlen bennfentesek – nem minden bennfentes támadás történik rosszindulatú szándékkal. Az a munkavállaló, aki őszinte hibát követ el, és véletlenül kiszivárogtatja az adatait, olyan dolog, ami túlságosan általánossá vált összekapcsolt világunkban. Határozottan egy fenyegetés, amelyet figyelembe kell venni.
- adathalászat és social engineering – gyakrabban, mint nem egy hacker megpróbál hozzáférni a hálózathoz azáltal, hogy az alkalmazottakat social engineering technikákkal célozza meg, gyakorlatilag arra kényszerítve őket, hogy önként adják fel hitelesítő adataikat. Ez határozottan valami, amire készen kell állnia.
3. Számítsa ki a kockázatokat
Miután létrehozta az adatai által esetlegesen fenyegetett potenciális fenyegetések listáját, fel kell mérnie az egyes fenyegetések kilövésének kockázatát. Az ilyen kockázatértékelés segít árcédulát tenni minden fenyegetésre, és helyesen rangsorolni az új biztonsági ellenőrzések végrehajtásakor. Ehhez meg kell nézni a következő dolgokat:
- az Ön múltbeli tapasztalata-függetlenül attól, hogy találkozott-e egy konkrét fenyegetéssel, vagy sem, befolyásolhatja annak valószínűségét, hogy a jövőben találkozik vele. Ha cége hackelés vagy szolgáltatásmegtagadási támadás célpontja volt, jó esély van arra, hogy ez újra megtörténik.
- Általános kiberbiztonsági tájkép – nézze meg a kiberbiztonság jelenlegi trendjeit. Milyen fenyegetések válnak egyre népszerűbbé és gyakoribbá? Mik az új és új fenyegetések? Milyen biztonsági megoldások válnak egyre népszerűbbé?
- az ipar állapota – nézze meg a közvetlen verseny tapasztalatait, valamint az iparág fenyegetéseit. Például, ha az egészségügyben vagy az oktatásban dolgozik, gyakrabban szembesül bennfentes támadásokkal, adathalász támadásokkal és zsarolóprogramokkal, míg a kiskereskedelemben gyakrabban szembesülhetnek szolgáltatásmegtagadási támadásokkal és más rosszindulatú programokkal.
eszköz a szükséges vezérlők
miután megállapította az egyes fenyegetésekhez kapcsolódó kockázatokat, készen áll az utolsó lépésre – a végrehajtandó vezérlők informatikai biztonsági ellenőrzési ellenőrzőlistájának létrehozása. Vizsgálja ellenőrzések, amelyek a helyén vannak, és kidolgozza a módját, hogy javítsa őket, vagy folyamatok végrehajtása, amelyek hiányoznak.
a leggyakoribb biztonsági intézkedések, amelyeket figyelembe vehet, a következők:
- fizikai szerverbiztonság-ha saját szervere van, akkor feltétlenül fizikai hozzáférést kell biztosítania hozzájuk. Természetesen ez nem jelent problémát, ha egyszerűen szerverterületet bérel egy adatközpontból. Ugyanakkor a vállalatnál használt IoT-eszközöknek meg kell változtatniuk az összes alapértelmezett jelszót, és a fizikai hozzáférést alaposan biztosítani kell a hackelési kísérletek megakadályozása érdekében.
- rendszeres adatmentés-az adatmentés nagyon hatékony természeti katasztrófa vagy rosszindulatú támadás esetén, amely megrontja vagy kizárja az adatait (ransomware). Győződjön meg arról, hogy minden biztonsági mentést a lehető leggyakrabban végeznek, és hozzon létre egy megfelelő eljárást az adatok visszaállításához.
- tűzfal és anti-vírus – ez a cyber security 101, de meg kell védeni a hálózatot megfelelően konfigurált tűzfalak és a számítógépek anti-vírusok. Tudjon meg többet, és a kutatás elérhető víruskereső szoftver Antivirus.legjobb.
- Anti-spam filter – a helyesen konfigurált anti-spam szűrő nagy áldás lehet az adathalász támadások és a levélben küldött rosszindulatú programok elleni küzdelemben. Bár az alkalmazottak tudják, hogy nem kattintanak az e-mailben található linkekre, mindig jobb, ha biztonságban vagyunk, nem pedig Sajnáljuk.
- hozzáférés – vezérlés-számos módja van a hozzáférés szabályozásának, és jobb lenne, ha mindegyiket a helyére helyezné. Először is meg kell győződnie arról, hogy Ön szabályozza a felhasználók jogosultsági szintjét, és hogy a legkevesebb jogosultság elvét használja új fiókok létrehozásakor. Ettől eltekintve a kétfaktoros hitelesítés elengedhetetlen, mivel nagymértékben növeli a bejelentkezési eljárás biztonságát, és lehetővé teszi, hogy megtudja, ki pontosan hozzáfért az adataihoz és mikor.
- felhasználói műveletfigyelés – a szoftver videofelvételt készít mindenről, amit a felhasználó a munkamenet során tesz, lehetővé téve minden esemény áttekintését a megfelelő kontextusban. Ez nem csak a bennfentes fenyegetések felderítésében nagyon hatékony, hanem nagyszerű eszköz a jogsértések és szivárgások kivizsgálására, valamint nagyszerű válasz arra a kérdésre, hogy hogyan kell elvégezni az informatikai biztonsági megfelelőségi ellenőrzést, mivel lehetővé teszi az ilyen ellenőrzéshez szükséges adatok előállítását.
- munkavállalói biztonsági tudatosság – annak érdekében, hogy megvédje alkalmazottait az adathalász és a szociális mérnöki támadásoktól, valamint csökkentse a véletlen hibák gyakoriságát, és győződjön meg arról, hogy minden biztonsági eljárást betartanak, a legjobb, ha oktatja őket a legjobb kiberbiztonságról. Tanítsa meg alkalmazottait a fenyegetésekről, amelyekkel mind ők, mind a vállalat szembesül, valamint a fenyegetések leküzdésére bevezetett intézkedéseket. A munkavállalók tudatosságának növelése nagyszerű módja annak, hogy felelősségből hasznos eszközzé alakítsák őket a kiberbiztonság terén.
következtetés
a fent említett 4 egyszerű lépés – az ellenőrzés hatókörének meghatározása, a fenyegetések meghatározása, az egyes fenyegetésekhez kapcsolódó kockázatok értékelése, valamint a meglévő biztonsági ellenőrzések értékelése, valamint a végrehajtandó új ellenőrzések és intézkedések kidolgozása – mindössze annyit kell tennie, hogy elvégezze a biztonsági ellenőrzést.
az eredményeknek alaposan értékelniük kell a biztonság jelenlegi állapotát, valamint konkrét ajánlásokat kell tenniük a dolgok javítására. Az ilyen önellenőrzésből származó adatokat arra használják, hogy hozzájáruljanak a biztonsági alapvonal kialakításához, valamint a vállalat biztonsági stratégiájának kialakításához.
a kiberbiztonság folyamatos folyamat, és az önellenőrzéseknek fontos mérföldköveknek kell lenniük ezen az úton az adatok védelme érdekében.