Provedení interního bezpečnostního auditu je skvělý způsob, jak firmu nasměrovat na správnou cestu k ochraně před únikem dat a dalšími nákladnými bezpečnostními hrozbami. Mnoho profesionálů v oblasti IT a zabezpečení považuje bezpečnostní audit za stresující a nákladné řešení pro posouzení shody zabezpečení organizace (je tomu tak, náklady na externí bezpečnostní audit se pohybují v řádech 50 tisíc dolarů). Přehlížejí však skutečnost, že se správným školením, zdroji a daty se interní bezpečnostní audit může ukázat jako efektivní při hodnocení bezpečnosti jejich organizace a může vytvořit kritické, akční poznatky pro zlepšení obrany společnosti.
Existuje pět kroků, které je třeba učinit, aby interní bezpečnostní audit přinesl návratnost investic:
- Definice auditu
- Definice hrozeb
- Ohodnocení současné výkonnosti zabezpečení
- Prioritizace (skórování rizik)
- Formulování bezpečnostních řešení
Externí vs. vnější. Interní bezpečnostní audit
Než se ponoříme do specifik jednotlivých kroků, je důležité pochopit rozdíl mezi externím a interním bezpečnostním auditem. Externí bezpečnostní audit má pro společnosti neuvěřitelnou hodnotu, ale pro menší podniky je neúměrně drahý a stále do značné míry závisí na spolupráci a koordinaci interních týmů IT a zabezpečení. Tyto týmy musí především najít respektovaného a cenově dostupného partnera pro externí audit, ale také musí stanovit cíle/očekávání pro auditory, poskytnout všechny relevantní a přesné údaje a implementovat doporučené změny.
Přesto existuje důvod, proč se větší organizace spoléhají na externí audity (a proč jsou finanční instituce povinny mít externí audity podle zákona Gramm-Leach-Bliley) nad rámec auditů a hodnocení prováděných interními týmy.
Externí audity provádějí zkušení profesionálové, kteří mají všechny příslušné nástroje a software k provedení důkladného auditu – za předpokladu, že dostanou potřebná data a pokyny. Protože je provádějí lidé mimo podnik, je také zajištěno, že žádná podniková jednotka nebude přehlédnuta z důvodu interních předsudků. Výhodou auditorů je, že rozumějí všem bezpečnostním protokolům a jsou vyškoleni k odhalování nedostatků ve fyzických i digitálních systémech.
I přes tyto výhody se mnoho IT a bezpečnostních profesionálů rozhoduje pro interní bezpečnostní audity kvůli jejich rychlosti, nákladům, efektivitě a důslednosti.
Pomocí interního bezpečnostního auditu můžete stanovit výchozí úroveň, ze které můžete měřit zlepšení pro budoucí audity. Protože jsou tyto interní audity v podstatě zdarma (po odečtení časové náročnosti), lze je provádět častěji. Navíc je shromažďování a třídění relevantních údajů zjednodušeno, protože nejsou distribuovány třetí straně. Další příjemnou výhodou je, že interní bezpečnostní audity způsobují menší narušení pracovního procesu zaměstnanců.
Pokud se rozhodnete provést interní bezpečnostní audit, je nutné, abyste se vzdělávali v požadavcích na dodržování předpisů, které jsou nezbytné pro dodržování bezpečnostních protokolů. Jakmile se s nimi seznámíte, budete mít přehled o tom, na co byste se měli zaměřit – a to znamená, že jste připraveni zahájit interní bezpečnostní audit.
Tady je pět jednoduchých a nenákladných kroků, které můžete podniknout při provádění interního bezpečnostního auditu:
Definice auditu
Vaším prvním úkolem jako auditora je definovat rozsah auditu – to znamená, že musíte sepsat seznam všech svých aktiv. Mezi aktiva patří zřejmé věci, jako je počítačové vybavení a citlivé údaje o společnosti a zákaznících, ale také věci, bez nichž by oprava podniku vyžadovala čas nebo peníze, jako je důležitá interní dokumentace.
Jakmile máte dlouhý seznam aktiv, musíte definovat svůj bezpečnostní perimetr.
Bezpečnostní perimetr rozděluje vaše aktiva do dvou kbelíků: věci, které budete auditovat, a věci, které auditovat nebudete. Není rozumné očekávat, že můžete auditovat všechno. Vyberte si nejcennější aktiva, vybudujte kolem nich bezpečnostní perimetr a na tato aktiva se stoprocentně zaměřte.
Definice hrozeb
Následující krok: Vezměte si seznam cenných aktiv a sepište odpovídající seznam potenciálních hrozeb pro tato aktiva.
Může se jednat o různé hrozby, od špatných hesel zaměstnanců chránících citlivá data společnosti nebo zákazníků, přes útoky DDoS (Denial of Service), až po fyzické narušení nebo škody způsobené přírodní katastrofou. V podstatě je třeba zvážit jakoukoli potenciální hrozbu, pokud může oprávněně stát vaše podniky značnou částku peněz.
Níže uvádíme seznam běžných hrozeb, na které byste měli při tomto kroku myslet:
- Nedbalí zaměstnanci: Vaši zaměstnanci jsou první linií obrany – jak dobře jsou vyškoleni, aby si všímali podezřelých aktivit (např. phishingu) a dodržovali bezpečnostní protokoly stanovené vaším týmem? Používají znovu osobní hesla k ochraně citlivých firemních účtů?
- Phishingové útoky: Pachatelé narušení zabezpečení se stále častěji obracejí k phishingovým podvodům, aby získali přístup k citlivým informacím. Více než 75 % phishingových útoků je motivováno finančně.
- Špatné chování při zadávání hesel:
- Špatné chování pachatelů: Slabá nebo ukradená hesla, která jsou využívána v 81 % případů narušení bezpečnosti, jsou metodou číslo 1, kterou pachatelé používají:
- Útoky DDos: Je důležité vzít v úvahu, že je možné, že ve vaší firmě nebo ve spojení s třetí stranou existuje někdo, kdo má přístup k vašim datům a kdo by ukradl nebo zneužil citlivé informace:
- Útok DDoS (Distributed Denial-of-Service) nastane, když více systémů zaplaví cílový systém (typicky webový server) a přetíží ho, čímž ho učiní nepoužitelným.
- BYOD (Bring Your Own Device): Umožňuje vaše organizace používat BYOD? Pokud ano, je plocha útoku pro pachatele větší a slabší. Každé zařízení, které má přístup k vašim systémům, musí být zohledněno, i když není ve vlastnictví vaší firmy.
- Malware: To představuje řadu různých hrozeb, jako jsou červi, trojské koně, spyware, a zahrnuje stále populárnější hrozbu: ransomware.
- Fyzické narušení nebo přírodní katastrofa: Důsledky jedné nebo obou těchto věcí jsou sice nepravděpodobné, ale mohou být neuvěřitelně nákladné. Jak náchylná je vaše organizace?
Zhodnoťte současnou výkonnost zabezpečení
Když už máte seznam hrozeb, musíte se upřímně vyjádřit ke schopnosti vaší společnosti se proti nim bránit. V tomto okamžiku hodnotíte výkonnost stávajících bezpečnostních struktur, což znamená, že v podstatě hodnotíte výkonnost sebe, svého týmu nebo oddělení.
To je jedna z oblastí, kde může externí audit poskytnout další hodnotu, protože zajistí, že výsledek auditu neovlivní žádné interní předsudky.
Pro legitimitu a účinnost interního bezpečnostního auditu je velmi důležité, abyste se pokusili zablokovat jakékoli emoce nebo předsudky, které máte vůči hodnocení a posuzování své dosavadní výkonnosti a výkonnosti vašeho oddělení jako celku.
Možná je váš tým obzvláště dobrý v monitorování sítě a odhalování hrozeb, ale jsou vaši zaměstnanci informováni o nejnovějších metodách používaných hackery k získání přístupu do vašich systémů? Jako první linie obrany byste možná měli více vážit hrozby vůči zaměstnancům než hrozby související s detekcí sítě. Samozřejmě to funguje oběma směry v závislosti na silných a slabých stránkách vašeho týmu v souvislosti s hrozbami, kterým čelíte.
Zohlednění schopnosti vaší organizace buď se dobře bránit proti určitým hrozbám, nebo udržet cenná aktiva dobře chráněná je neocenitelné během dalšího kroku: stanovení priorit.
Prioritizace (hodnocení rizik)
Toto je možná nejdůležitější úkol, který jako auditor máte. Jak stanovíte priority?
Vezměte svůj seznam hrozeb a zvažte potenciální škody způsobené výskytem hrozby oproti šanci, že k ní skutečně může dojít (a přiřaďte tak každé z nich skóre rizika). Například přírodní katastrofa může podnik zničit (vysoké skóre rizika), ale pokud vaše aktiva existují na místě, které nikdy nebylo zasaženo přírodní katastrofou, mělo by být skóre rizika odpovídajícím způsobem sníženo.
Při hodnocení příslušných hrozeb nezapomeňte zahrnout výsledky aktuálního hodnocení výkonnosti zabezpečení (krok č. 3).
Při hodnocení hrozeb je důležité udělat krok zpět a podívat se na další faktory:
- Historie vaší organizace:
- Současné trendy v oblasti kybernetické bezpečnosti: Jakou metodu v současnosti pachatelé volí? Které hrozby jsou stále populárnější a které se vyskytují stále méně často? Jaká nová řešení jsou k dispozici na obranu proti některým hrozbám?
- Trendy na úrovni odvětví: Řekněme, že pracujete ve finančním odvětví, jak to ovlivňuje nejen vaše data, ale i pravděpodobnost narušení? Jaké typy narušení jsou ve vašem odvětví častější?
- Regulace a dodržování předpisů: Jste veřejná nebo soukromá společnost? S jakými údaji nakládáte? Uchovává a/nebo přenáší vaše organizace citlivé finanční nebo osobní údaje? Kdo má přístup k jakým systémům?“ Odpovědi na tyto otázky budou mít vliv na skóre rizika, které přiřazujete určitým hrozbám, a na hodnotu, kterou přikládáte konkrétním aktivům.
Formulujte bezpečnostní řešení
Závěrečný krok interního bezpečnostního auditu je jednoduchý – vezměte svůj seznam prioritních hrozeb a sepište odpovídající seznam bezpečnostních vylepšení nebo osvědčených postupů k jejich negaci nebo odstranění. Tento seznam je nyní vaším osobním seznamem úkolů pro nadcházející týdny a měsíce.
Níže uvádíme seznam běžných bezpečnostních řešení, nad kterými byste se měli během tohoto kroku zamyslet:
- Osvěta v oblasti vzdělávání zaměstnanců: 50 % vedoucích pracovníků tvrdí, že nemají program školení zaměstnanců v oblasti bezpečnosti. To je nepřijatelné. Zaměstnanci jsou nejslabším článkem zabezpečení vaší sítě – vytvořte školení pro nové zaměstnance a aktualizace pro stávající zaměstnance, abyste vytvořili povědomí o osvědčených postupech zabezpečení, například jak rozpoznat phishingový e-mail.
- Ochrana e-mailů: Phishingové útoky jsou v dnešní době stále populárnější a je stále obtížnější je rozpoznat. Po kliknutí na phishingový e-mail má pachatel řadu možností, jak získat přístup k vašim datům prostřednictvím instalace softwaru. Pomáhají filtry nevyžádané pošty, ale velmi cenná je také identifikace e-mailů jako „interních“ nebo „externích“ pro vaši síť (můžete to připojit ke každému předmětu, aby zaměstnanci věděli, odkud e-maily pocházejí).
- Bezpečnost hesel a správa přístupu: Hesla jsou ošemetná, protože musí být složitá a jedinečná pro každý účet. Lidé prostě nejsou uzpůsobeni k tomu, aby si pamatovali desítky nebo stovky hesel, a proto mají tendenci je buď používat opakovaně, nebo je ukládat do nechráněných dokumentů Word nebo poznámkových bloků. Investujte do správce firemních hesel, eliminujte opakované používání hesel, zvyšte jejich složitost a umožněte bezpečné sdílení hesel. Jako správce můžete také řídit, kdo má v organizaci přístup k jakým heslům, abyste zajistili, že citlivé účty budou dostupné pouze příslušným pracovníkům. Nezapomeňte používat dvoufaktorové ověřování pro další úroveň zabezpečení.
- Sledování sítě: Pachatelé se často snaží získat přístup do vaší sítě. Můžete se poohlédnout po softwaru pro monitorování sítě, který vám pomůže upozornit na jakoukoli pochybnou aktivitu, neznámé pokusy o přístup a další, abyste byli o krok napřed před potenciálně škodlivými narušiteli. Tyto softwarové systémy, jako je Darktrace, nabízejí nepřetržitou ochranu a využívají umělou inteligenci, aby pomohly odhalit kybernetické zločiny dříve, než k nim dojde, ale jsou obvykle drahé.
- Zálohování dat: Je ohromující, jak často firmy na tento jednoduchý krok zapomínají. Pokud se s vašimi daty něco stane, vaše firma je pravděpodobně v háji. Důsledně zálohujte data a zajistěte, aby byla v bezpečí a odděleně pro případ útoku malwaru nebo fyzického napadení vašich primárních serverů.
- Aktualizace softwaru: Udržování nejnovějšího softwaru pro všechny uživatele sítě je pro zabezpečení přístupových bodů neocenitelné. Aktualizace softwaru můžete vynutit ručně, nebo můžete použít software, jako je Duo, který zajistí zablokování citlivých účtů pro zaměstnance, jejichž software není aktuální.
Váš interní bezpečnostní audit je dokončen
Gratulujeme, nyní máte nástroje k dokončení prvního interního bezpečnostního auditu. Mějte na paměti, že audit je opakující se proces a vyžaduje průběžné přezkoumávání a zlepšování pro budoucí audity.
Váš první bezpečnostní audit by měl sloužit jako výchozí bod pro všechny budoucí audity – měření vašich úspěchů a neúspěchů v průběhu času je jediný způsob, jak skutečně zhodnotit výkonnost.
Pokračováním ve zlepšování metod a procesů vytvoříte atmosféru důsledné revize zabezpečení a zajistíte, že budete vždy v nejlepší pozici pro ochranu firmy před jakýmkoli typem bezpečnostních hrozeb.
Zajímá vás správce podnikových hesel, který vám pomůže eliminovat opakované používání hesel a chránit před nedbalostí zaměstnanců? Vyzkoušejte Dashlane Business, kterému důvěřuje více než 7 000 podniků po celém světě a který si pochvalují velké i malé firmy pro jeho účinnost při změně bezpečnostního chování a jednoduchost designu, která umožňuje jeho přijetí v celé firmě.