4 eenvoudige stappen IT Security Audit van uw eigen bedrijf
bedrijven zien data security audit vaak als een stressvol en opdringerig proces. Auditor loopt rond en leidt iedereen af en bemoeit zich met de normale bedrijfsactiviteiten. Het nut van het uitvoeren van audits is ook iets voor een discussie: zijn regelmatige risicobeoordeling niet genoeg om een beveiligingsstrategie te vormen en uw gegevens te beschermen? En als u onderworpen bent aan compliance regelgeving met betrekking tot de beveiliging van persoonlijke gegevens, dan zult u vroeg of laat toch worden geconfronteerd met een officiële audit. Zou je daar niet beter op voorbereid zijn, dan zelf een IT security audit te doen?
in werkelijkheid zijn zelfaudits echter zeer nuttig, omdat ze een reeks specifieke doelen vervullen. Self-audits kunt u:
- Opzetten van een security baseline – resultaten van meerdere self-audits over de jaren dienen als een fantastisch betrouwbare basis is voor het beoordelen van security performance
- af te dwingen veiligheid voorschriften en praktijken – audits kunt u ervoor zorgen dat alle cyber security maatregelen die in uw bedrijf worden zorgvuldig nageleefd en gevolgd
- Bepalen van de werkelijke staat van uw veiligheid en het formuleren van de strategie voor de toekomst – audit zal u tonen hoe de dingen werkelijk zijn, op een meer gedetailleerde manier dan risicobeoordeling ooit zou kunnen. Het belicht niet alleen ontbrekende dingen, maar houdt ook rekening met bestaande processen en laat zien waarom en hoe ze moeten worden verbeterd.
alles bij elkaar is self-auditing een fantastisch nuttig hulpmiddel wanneer u uw cyberbeveiliging moet beoordelen of ervoor moet zorgen dat u klaar bent voor een echte compliance audit. Het is een goede praktijk om vrij vaak zelfaudits uit te voeren-idealiter meerdere keren per jaar.
maar hoe moet een cyber security audit worden uitgevoerd?
er zijn verschillende manieren om de benodigde gegevens te verzamelen, zoals toegangsbeheer, monitoring van gebruikersacties en software voor het volgen van werknemers, zodat u gecentraliseerde rapporten kunt produceren voor een grondige beveiligingsbeoordeling. Het zou echter niet eerlijk zijn om te zeggen dat zelfaudits zonder hun eerlijke deel van de nadelen zitten, en we zullen ze verder naar beneden bespreken terwijl we zelfaudits in meer detail bespreken.
maar eerst, laten we eens kijken naar voors en tegens van elk van de twee manieren waarop u zelf-audit kunt uitvoeren:
externe vs interne audit
wanneer u besluit een zelfcontrole uit te voeren, kunt u dit intern doen met uw eigen middelen of een externe auditor inhuren. En de keuze tussen de twee is niet zo gesneden en droog als je zou denken.
externe accountants zijn goed in wat ze doen. Ze maken gebruik van een set van cyber security auditing software, zoals kwetsbaarheidsscanners en brengen hun eigen uitgebreide ervaring op tafel om uw veiligheid te onderzoeken en gaten in het te vinden. Het grote nadeel voor hen is echter dat ze niet goedkoop zijn, en het vinden van de persoon met de nodige kwalificatie en ervaring onder de zee van aanbiedingen kan erg moeilijk zijn.
bovendien zal het succes van een dergelijke controle sterk afhangen van de kwaliteit van de communicatie tussen uw bedrijf en een auditor. Als een auditor niet de juiste gegevens kan krijgen of het te laat krijgt, kan de audit doorgaan, onbetrouwbare resultaten opleveren of de kosten opdrijven.
dit alles maakt externe audits eerder een luxe dan een permanente oplossing. Ze zijn geweldig om één keer per jaar te doen (als je er tijd en geld voor hebt), of als een manier om je bedrijf voor te bereiden op een echte compliance audit, maar ze elk kwartaal doen kan kosten-prohibitief zijn.
interne audits zijn daarentegen eenvoudig te doen en kunnen zeer effectief zijn als driemaandelijkse beoordeling, zodat u gegevens kunt verzamelen voor uw veiligheidssituatie en kunt controleren of het huidige beleid effectief is of niet. Het nadeel daarvan is echter dat interne auditors vaak de ervaring en instrumenten missen die nodig zijn om de kwaliteit van een professionele externe audit aan te passen. Echter, dit op zich is niet iets dat niet kan worden opgelost door simpelweg het inhuren van de juiste mensen en hen te trainen voor de baan.
tegelijkertijd zijn interne audits niet alleen goedkoop, maar ook efficiënt in termen van proces. Het is veel gemakkelijker voor een interne medewerker of afdeling om alle benodigde gegevens te verzamelen zonder het moeizame proces van het tot stand brengen van effectieve communicatie en zonder de bestaande workflow binnen het bedrijf te verstoren.
en hoewel interne audits in theorie ingewikkeld kunnen lijken, hoeft u alleen maar een reeks eenvoudige stappen uit te voeren en de gewenste resultaten te verkrijgen. Vervolgens zullen we deze stappen in meer detail bespreken.
4 eenvoudige stappen voor zelfcontrole
1. Definieer de scope van een audit
het eerste wat u moet doen is de scope van uw audit vaststellen. Of u nu de Algemene beveiligingsstatus in uw organisatie controleert of een specifieke beveiligingsaudit, beveiligingsaudit van derden of een andere uitvoert, u moet weten waar u naar moet kijken en wat u moet overslaan.
om dit te doen, moet u een veiligheidsgrens tekenen – een grens rond al uw waardevolle activa. Deze grens moet zo klein mogelijk zijn en alle waardevolle activa omvatten die je hebt en die bescherming vereist. Je moet alles binnen deze grens controleren en zou niets buiten het aanraken.
de beste manier om de beveiliging te definiëren is door een lijst te maken van alle waardevolle activa die uw bedrijf heeft. Dit kan lastig zijn, omdat bedrijven vaak dingen weglaten zoals puur interne documentatie, het gedetailleerd maken van bijvoorbeeld verschillende bedrijfsbeleid en-procedures, omdat het geen waarde lijkt te hebben voor de potentiële dader. Echter, dergelijke informatie is waardevol voor het bedrijf zelf, omdat in het geval dat deze documenten ooit verloren of vernietigd (bijvoorbeeld als gevolg van hardware storing of werknemer fout), zal het enige tijd en geld om ze opnieuw te maken. Daarom moeten ze ook worden opgenomen in uw hoofdlijst van alle activa die bescherming vereisen.
Definieer de bedreigingen van uw gegevens
zodra u uw beveiliging perimeter definieert, moet u een lijst met bedreigingen van uw gegevens maken. Het moeilijkste deel is om een juiste balans te vinden tussen hoe ver een bedreiging is en hoeveel impact het zou hebben op uw bottom line als het ooit gebeurt. Bijvoorbeeld, als een natuurramp, zoals een orkaan, relatief zeldzaam is, maar verwoestend kan zijn in termen van financiën, kan het nog steeds worden opgenomen in de lijst.
alle, de meest voorkomende bedreigingen, die u waarschijnlijk zou moeten overwegen, zijn de volgende:
- natuurrampen en fysieke inbreuken – zoals hierboven vermeld, terwijl dit iets is dat zelden gebeurt, kunnen de gevolgen van een dergelijke dreiging verwoestend zijn, daarom moet u waarschijnlijk controles op zijn plaats hebben voor het geval dat.
- Malware en hacking attacks – externe hacking attacks zijn een van de grootste bedreigingen voor de gegevensbeveiliging die er zijn en moeten altijd worden overwogen.
- Ransomware-Dit type malware oogstte populariteit in de laatste jaren. Als je werkt in de gezondheidszorg, onderwijs of financiën, je waarschijnlijk moet uitkijken voor het.
- Denial of service-aanvallen – de opkomst van IoT-apparaten zag een dramatische stijging van botnets. Denial of service aanvallen zijn nu wijdverbreid en gevaarlijker dan ooit. Als uw bedrijf afhankelijk is van ononderbroken netwerkservice, moet u zeker kijken naar het opnemen van die.
- Malicious insiders-dit is een bedreiging die niet elk bedrijf in aanmerking neemt, maar elk bedrijf wordt geconfronteerd. Zowel uw eigen medewerkers als externe leveranciers met toegang tot uw gegevens kunnen gemakkelijk lekken of misbruiken, en je zou niet in staat zijn om het te detecteren. Daarom, het is het beste om klaar te zijn en omvat het in uw eigen lijst bedreiging. Maar voor, we raden u aan te kijken door de vergelijking van bedreigingen monitoring oplossingen.
- onbedoelde insiders-niet alle insiders worden met opzet aangevallen. De werknemer die een eerlijke fout maakt en per ongeluk uw gegevens lekt, is iets dat maar al te vaak voorkomt in onze verbonden wereld. Zeker een bedreiging om te overwegen.
- Phishing en social engineering-vaker wel dan niet zal een hacker proberen toegang te krijgen tot uw netwerk door uw werknemers te targeten met social engineering technieken, waardoor ze praktisch vrijwillig hun referenties opgeven. Dit is zeker iets waar je klaar voor moet zijn.
3. Bereken de risico ‘ s
zodra u de lijst met potentiële bedreigingen hebt opgesteld waarmee uw gegevens kunnen worden geconfronteerd, moet u het risico beoordelen dat elk van deze bedreigingen afvuurt. Een dergelijke risicobeoordeling zal u helpen om een prijskaartje te plakken op elke bedreiging en prioriteiten correct te stellen als het gaat om het implementeren van nieuwe beveiligingscontroles. Om dit te doen, moet je kijken naar de volgende dingen:
- Uw ervaring in het verleden – of u nu een specifieke bedreiging bent tegengekomen of niet, kan van invloed zijn op de kans dat u deze in de toekomst tegenkomt. Als uw bedrijf was een doelwit van hacking of denial of service aanval, is er een goede kans dat het weer gebeurt.
- Algemeen cyber security landschap-kijk naar de huidige trends in cyber security. Welke bedreigingen worden steeds populairder en komen steeds vaker voor? Wat zijn nieuwe en opkomende bedreigingen? Welke beveiligingsoplossingen worden steeds populairder?
- stand van de industrie – bekijk de ervaring van uw directe concurrentie en de bedreigingen waarmee uw industrie wordt geconfronteerd. Als u bijvoorbeeld in de gezondheidszorg of het onderwijs werkt, krijgt u vaker te maken met insideraanvallen, phishing-aanvallen en ransomware, terwijl retail vaker te maken krijgt met denial of service-aanvallen en andere malware.
apparaat de benodigde besturingselementen
zodra u de risico ‘ s van elke bedreiging hebt vastgesteld, bent u aan de laatste stap toe: het maken van een controlelijst voor IT – beveiligingsaudit met besturingselementen die u moet implementeren. Onderzoek de bestaande controles en bedenk een manier om deze te verbeteren, of implementeer processen die ontbreken.
de meest voorkomende beveiligingsmaatregelen die u kunt overwegen, zijn::
- fysieke serverbeveiliging – als u eigenaar bent van uw eigen servers, moet u zeker een fysieke toegang tot hen te beveiligen. Natuurlijk is dit geen probleem als je gewoon serverruimte huurt van een datacenter. Tegelijkertijd, elke IoT apparaten in gebruik in uw bedrijf moeten al hun standaard wachtwoorden veranderd en fysieke toegang tot hen grondig beveiligd om te voorkomen dat hacking pogingen.
- regelmatige back-up van gegevens-back-up van gegevens is zeer effectief in het geval van een natuurramp of malware-aanval die u corrumpeert of buitensluit van uw gegevens (ransomware). Zorg ervoor dat al uw back-ups worden gedaan zo vaak mogelijk en een goede procedure voor het herstellen van uw gegevens vast te stellen.
- Firewall en anti-virus-dit is cyber security 101, maar u moet uw netwerk beschermen met correct geconfigureerde firewalls en uw computers met anti-virussen. U kunt meer informatie en onderzoek beschikbare antivirus software op Antivirus.best.
- Anti-spamfilter-correct geconfigureerd anti-spamfilter kan een grote zegen zijn in het bestrijden van phishing-aanvallen en malware verzonden via e-mail. Terwijl uw medewerkers kunnen weten om geen links in een e-mail te klikken, het is altijd beter om veilig te zijn, in plaats van sorry.
- Toegangscontrole-er zijn verschillende manieren om toegang te beheren en u kunt ze beter allemaal op hun plaats zetten. Allereerst moet u ervoor zorgen dat u het niveau van de privilege gebruikers hebben en dat u het principe van de minste privilege gebruiken bij het maken van nieuwe accounts. Afgezien van dat, twee-factor authenticatie is een must, omdat het sterk verhoogt de veiligheid van de login procedure en stelt u in staat om te weten wie precies toegang tot uw gegevens en wanneer.
- gebruikersactiemonitoring-software maakt een video-opname van alles wat de gebruiker tijdens de sessie doet, zodat u elk incident in de juiste context kunt bekijken. Niet alleen is dit zeer effectief als het gaat om het detecteren van insider bedreigingen, het is ook een geweldig hulpmiddel voor het onderzoeken van eventuele inbreuken en lekken, evenals een geweldig antwoord op een vraag hoe u IT security compliance audit doen, omdat het u toelaat om de nodige gegevens voor een dergelijke audit te produceren.Veiligheidsbewustzijn van werknemers-om uw werknemers te beschermen tegen phishing-en social engineering-aanvallen, de frequentie van onbedoelde fouten te verminderen en ervoor te zorgen dat alle beveiligingsprocedures worden gevolgd, is het het beste om hen te informeren over de beste cyberbeveiliging. Leer uw werknemers over bedreigingen die zowel zij als uw bedrijf worden geconfronteerd, evenals maatregelen die u in te voeren om deze bedreigingen te bestrijden. Het verhogen van het bewustzijn van werknemers is een geweldige manier om ze te transformeren van een verplichting tot een nuttige troef als het gaat om cyber security.
conclusie
de vier eenvoudige stappen die hierboven zijn genoemd, – het definiëren van de reikwijdte van een audit, het definiëren van de bedreigingen, het beoordelen van de risico ‘ s verbonden aan elke individuele bedreiging, evenals het beoordelen van bestaande beveiligingscontroles en het bedenken van de nieuwe controles en maatregelen die moeten worden uitgevoerd, – is alles wat u hoeft te doen om een beveiligingsaudit uit te voeren.
uw deliverables moeten een grondige beoordeling van de huidige staat van uw beveiliging vormen, evenals specifieke aanbevelingen over hoe u dingen kunt verbeteren. De gegevens van een dergelijke zelfaudit worden gebruikt om bij te dragen aan het vaststellen van een security baseline, evenals aan het formuleren van de beveiligingsstrategie van uw bedrijf.
Cyber security is een continu proces, en zelf-audits moeten uw grote regelmatige mijlpalen op deze weg om uw gegevens te beschermen.