3月 3, 2022

4簡単な手順自社のITセキュリティ監査を実施する方法

企業は、多くの場合、データセキュリティ監査をストレスの多い侵入プロセスと見なします。 監査人は皆を気を散らし、規則的な会社操作で干渉することのまわりで歩く。 監査を実施することの有用性も議論のためのものです:セキュリティ戦略を形成し、データを保護するのに十分な定期的なリスク評価ではありませんか? また、個人データのセキュリティに関するコンプライアンス規制の対象である場合は、遅かれ早かれ公式監査に直面することになります。 あなた自身のITセキュリティ監査を行うよりも、その準備をした方が良いでしょうか?

しかし、実際には、自己監査は一連の特定の目標を達成するため、非常に有用です。 自己監査により、次のことが可能になります:

  • セキュリティベースラインを確立する–長年にわたって複数の自己監査の結果は、あなたのセキュリティパフォーマンスを評価するための幻想的に信頼性の高いベースラインとして機能する
  • セキュリティ規制と慣行の施行に役立ちます-監査により、あなたの会社に設置されたすべてのサイバーセキュリティ対策が徹底的に施行され、従うことを確認することができます
  • あなたのセキュリティの本当の状態を決定し、将来の戦略を策定する–監査は、物事が実際にどのようになっているかを示しますリスク評価は今までできました。 不足しているものを強調するだけでなく、既存のプロセスを考慮に入れ、なぜどのように改善すべきかを示しています。

すべて、自己監査は、サイバーセキュリティを評価したり、実際のコンプライアンス監査の準備ができていることを確認する必要があるときに、非常に便利なツールです。 自己監査をかなり頻繁に行うことをお勧めします-理想的には、年に複数回。

しかし、サイバーセキュリティ監査を実施する方法は?

アクセス管理、ユーザー行動監視、従業員追跡ソフトウェアなど、必要なデータを収集する方法はさまざまで、徹底したセキュリティ評価のための集中レポー しかし、自己監査には欠点の公正なシェアがないと言っても過言ではなく、自己監査についてより詳細に議論する際には、さらにそれらに触れます。

しかし、まず、自己監査を行うことができる二つの方法のそれぞれの長所と短所を見てみましょう:

外部監査と内部監査

自己監査を行うことを決定するとき、あなた自身のリソースで内部的にそれを行うか、外部監査人を契約することができます。 そして、二つの間の選択は、一つが考えるようにカットし、乾燥していません。

外部監査人は、彼らが何をすべきかに優れています。 彼らは、脆弱性スキャナなどのサイバーセキュリティ監査ソフトウェアのセットを使用し、あなたのセキュリティを調べ、それに穴を見つけるために、 しかし、彼らの大きな欠点は、彼らが安くないということであり、オファーの海の中で必要な資格と経験を持つ人を見つけることは非常に難しいこと

さらに、そのような監査の成功は、あなたの会社と監査人との間で確立されたコミュニケーションの質に大きく依存します。 監査人が適切なデータを取得できない場合、または遅れて取得できない場合、監査はドラッグしたり、信頼できない結果を生成したり、コストを膨潤させたりする可能性があります。

このすべては、外部監査を恒久的な解決策ではなく贅沢にします。 彼らは年に一度(あなたがそれのための時間とお金を持っている場合)、または実際のコンプライアンス監査のためにあなたの会社を準備する方法と

一方、内部監査は簡単に行うことができ、四半期ごとの評価として非常に効果的であり、セキュリティベースラインのデータを収集し、現在のポリシーが有効かどうかを確認するのに役立ちます。 しかし、その欠点は、内部監査人は、多くの場合、プロの外部監査の品質を一致させるために必要な経験とツールを欠いているということです。 しかし、これ自体は、単に適切な人材を雇用し、仕事のためにそれらを訓練することによって解決することができないものではありません。

同時に、内部監査は安価であるだけでなく、プロセスの面でも効率的です。 社内の従業員や部門が、効果的なコミュニケーションを確立するための困難なプロセスや、社内の既存のワークフローを乱すことなく、必要なすべてのデー

内部監査は理論的には複雑に見えるかもしれませんが、実際には、一連の簡単な手順を完了し、必要な成果物を取得するだけです。 次に、これらの手順をより詳細に説明します。

自己監査するための4つの簡単なステップ

1. 監査のスコープを定義する

最初に行う必要があることは、監査のスコープを確立することです。 組織内のセキュリティの一般的な状態を確認するか、特定のネットワークセキュリティ監査、サードパーティのセキュリティ監査、またはその他を行うかどうかにかかわらず、何を見るべきか、何をスキップすべきかを知る必要があります。

これを行うには、セキュリティ境界、つまりすべての貴重な資産の周りに境界を描く必要があります。 この境界は、できるだけ小さく、あなたが持っているすべての貴重な資産を含める必要があり、それは保護を必要とします。 この境界内のすべてを監査する必要があり、その外側には何も触れません。

セキュリティ境界を定義する最良の方法は、あなたの会社が持っているすべての貴重な資産のリストを作成することです。 企業は、多くの場合、それは潜在的な加害者のための価値を持っていないように見えるので、例えば、様々な企業の方針や手順を詳述し、純粋に内部文書のよ しかし、そのような情報は、それらの文書が紛失または破壊された場合(ハードウェア障害や従業員の間違いなど)、それらを再作成するのに時間とお金 したがって、保護が必要なすべての資産のマスターリストにも含める必要があります。

データが直面する脅威を定義する

セキュリティ境界を定義したら、データが直面する脅威のリストを作成する必要があります。 最も難しい部分は、脅威がどのようにリモートであり、それが起こった場合、それはあなたの一番下の行に持っているだろうどのくらいの影響との間 たとえば、ハリケーンなどの自然災害が比較的まれであるが、財政面で壊滅的な可能性がある場合、それはまだリストに含まれている可能性があります。

あなたがおそらく含めるべき最も一般的な脅威はすべて、以下のとおりです:

  • 自然災害と物理的な違反–上記のように、これはまれにしか起こらないものですが、そのような脅威の結果は壊滅的なものになる可能性があるため、念のためにコントロールを設定する必要があります。
  • マルウェアとハッキング攻撃–外部ハッキング攻撃は、データセキュリティに対する最大の脅威の1つであり、常に考慮する必要があります。
  • ランサムウェア–このタイプのマルウェアは、最近の年に人気を集めました。 あなたが医療、教育、または財政で働いているなら、あなたはおそらくそれに注意する必要があります。
  • サービス拒否攻撃–IoTデバイスの台頭により、ボットネットが劇的に増加しました。 サービス拒否攻撃は現在、これまで以上に広範かつ危険です。 あなたのビジネスが中断のないネットワークサービスに依存している場合は、間違いなくそれらを含めて調べる必要があります。
  • 悪意のあるインサイダー–これは、すべての企業が考慮に入れるわけではなく、すべての企業が直面する脅威です。 データにアクセスできる従業員とサードパーティのベンダーの両方が、データを簡単に漏洩したり悪用したりする可能性があり、検出することはできません。 したがって、それは準備ができていることをお勧めし、あなた自身の脅威のリストに含まれています。 しかし、以前は、脅威監視ソリューションの比較を検討することをお勧めします。
  • 不注意なインサイダー–すべてのインサイダー攻撃が悪意から行われているわけではありません。 従業員が正直な間違いを犯し、誤ってデータを漏らすことは、私たちの接続された世界ではあまりにも一般的になったものです。 間違いなく考慮すべき脅威。
  • フィッシングとソーシャルエンジニアリング–多くの場合、ハッカーはソーシャルエンジニアリング技術で従業員をターゲットにしてネットワークへのアクセ これは間違いなくあなたが準備する必要があります何かです。

3. リスクの計算

データが直面する可能性のある潜在的な脅威のリストを確立したら、それらの各脅威が発生するリスクを評価する必要があります。 このようなリスク評価は、各脅威に値札を付け、新しいセキュリティコントロールを実装する際に適切に優先順位を付けるのに役立ちます。 これを行うには、次のことを確認する必要があります:

  • あなたの過去の経験–あなたが特定の脅威に遭遇したかどうかは、将来的にそれに遭遇する可能性に影響を与える可能性があります。 あなたの会社がハッキングやサービス拒否攻撃の標的であった場合、それが再び起こる可能性があります。
  • 一般的なサイバーセキュリティの風景–サイバーセキュリティの現在の傾向を見てください。 どのような脅威がますます普及し、頻繁になってきていますか? 新たな脅威と新たな脅威とは何ですか? どのようなセキュリティソリューションがより一般的になってきていますか?
  • 業界の状況–あなたの直接の競争の経験と、あなたの業界が直面する脅威を見てください。 たとえば、医療や教育で働く場合、インサイダー攻撃、フィッシング攻撃、ランサムウェアに直面する頻度が高くなりますが、小売店ではサービス拒否攻撃やその他のマルウェアに直面する頻度が高くなります。

デバイス必要なコントロール

各脅威に関連するリスクを確立したら、実装する必要があるコントロールのITセキュリティ監査チェックリスト 所定の位置にあるコントロールを調べ、それらを改善する方法を考案したり、欠落しているプロセスを実装したりします。

あなたが考慮することができる最も一般的なセキュリティ対策は、次のとおりです:

  • 物理サーバーのセキュリティ-あなた自身のサーバーを所有している場合、あなたは間違いなくそれらへの物理的なアクセスを保護する必要があります。 もちろん、単にデータセンターからサーバースペースを借りるだけであれば、これは問題ではありません。 同時に、社内で使用されているすべてのIoTデバイスは、ハッキングの試みを防ぐために、すべてのデフォルトパスワードを変更し、それらへの物理的アクセ
  • 定期的なデータバックアップ–データバックアップは、自然災害やデータを破損またはロックアウトするマルウェア攻撃(ランサムウェア)の場合に非常に効 すべてのバックアップが可能な限り頻繁に行われていることを確認し、データを復元するための適切な手順を確立します。
  • ファイアウォールとアンチウイルス-これはサイバーセキュリティ101ですが、正しく構成されたファイアウォールでネットワークを保護し、アンチウイルスで あなたはより多くを学び、Antivirusで利用可能なウイルス対策ソフトウェアを研究することができます。最高だ
  • スパム対策フィルタ-正しく設定されたスパム対策フィルタは、メールを介して送信されるフィッシング攻撃やマルウェアとの戦いに大きな恩恵を 従業員は電子メール内のリンクをクリックしないことを知っているかもしれませんが、申し訳ありませんが、安全であることを常にお勧めします。
  • アクセス制御–アクセスを制御するにはいくつかの方法があり、それらをすべて配置する方が良いでしょう。 まず、ユーザーが持つ権限のレベルを制御し、新しいアカウントを作成するときに最小権限の原則を使用することを確認する必要があります。 それとは別に、2要素認証は、ログイン手順のセキュリティを大幅に向上させ、誰がいつ正確にデータにアクセスしたのかを知ることができるため、必
  • ユーザーアクションの監視–ソフトウェアは、ユーザーがセッション中に行うすべてのビデオ録画を行い、適切なコンテキストですべてのインシデントを インサイダーの脅威を検出することになると、これは非常に効果的であるだけでなく、それはまた、任意の違反や漏れを調査するための素晴らしいツール
  • 従業員のセキュリティ意識–フィッシングやソーシャルエンジニアリング攻撃から従業員を保護し、不注意なミスの頻度を減らし、すべてのセキュリテ 彼らとあなたの会社の両方が直面している脅威だけでなく、それらの脅威に対処するために配置された措置について、あなたの従業員を教えます。 従業員の意識を高めることは、サイバーセキュリティに関しては、責任から有用な資産にそれらを変換するための素晴らしい方法です。

結論

上記の4つの簡単な手順–監査の範囲の定義、脅威の定義、個々の脅威に関連するリスクの評価、既存のセキュリティコントロールの評価、実装すべき新

あなたの成果物は、あなたのセキュリティの現在の状態の徹底的な評価と、物事を改善する方法に関する具体的な勧告を構成する必要があります。 このような自己監査からのデータは、セキュリティベースラインの確立に貢献するだけでなく、会社のセキュリティ戦略の策定にも使用されます。

サイバーセキュリティは継続的なプロセスであり、自己監査はデータを保護するためのこの道の大きな定期的なマイルストーンでなければなりません。

コメントを残す

メールアドレスが公開されることはありません。