Realizarea unui audit intern de securitate este o modalitate excelentă de a vă pune compania pe calea cea bună pentru a vă proteja împotriva unei încălcări a securității datelor și a altor amenințări costisitoare la adresa securității. Mulți profesioniști din domeniul IT și al securității se gândesc la un audit de securitate ca la o soluție stresantă și costisitoare pentru a evalua conformitatea organizației lor în materie de securitate (așa este, costurile unui audit de securitate extern se situează în jurul valorii de 50.000 de dolari). Dar ei trec cu vederea faptul că, cu o pregătire, resurse și date adecvate, un audit intern de securitate se poate dovedi eficient pentru a puncta securitatea organizației lor și poate crea informații critice și acționabile pentru a îmbunătăți apărarea companiei.
Există cinci etape pe care trebuie să le parcurgeți pentru a vă asigura că auditul de securitate internă vă va oferi un randament al investiției:
- Definiți auditul
- Definiți amenințările
- Evaluați performanța actuală a securității
- Prioritizați (scorarea riscurilor)
- Formulați soluții de securitate
Extern vs. extern. Audit intern de securitate
Înainte de a intra în specificul fiecărui pas, este important să înțelegem diferența dintre un audit de securitate extern și unul intern. Un audit de securitate extern are o valoare incredibilă pentru companii, dar este prohibitiv de costisitor pentru întreprinderile mai mici și se bazează încă foarte mult pe cooperarea și coordonarea echipelor interne de IT și de securitate. Aceste echipe trebuie, în primul rând, să găsească un partener de audit extern respectat și accesibil, dar trebuie, de asemenea, să stabilească obiective/așteptări pentru auditori, să furnizeze toate datele relevante și exacte și să implementeze schimbările recomandate.
Cu toate acestea, există un motiv pentru care organizațiile mai mari se bazează pe audituri externe (și pentru care instituțiile financiare sunt obligate să aibă audituri externe conform Legii Gramm-Leach-Bliley) pe lângă auditurile și evaluările efectuate de echipele interne.
Auditurile externe sunt efectuate de profesioniști experimentați care dispun de toate instrumentele și software-ul adecvate pentru a efectua un audit complet – presupunând că primesc datele și instrucțiunile necesare. Deoarece sunt efectuate de persoane din afara afacerii, se asigură, de asemenea, că nicio unitate de afaceri nu este trecută cu vederea din cauza prejudecăților interne. Auditorii au avantajul de a înțelege toate protocoalele de securitate și sunt instruiți să detecteze defectele atât în sistemele fizice, cât și în cele digitale.
În ciuda beneficiilor, mulți profesioniști din domeniul IT și al securității optează pentru audituri interne de securitate datorită vitezei, costului, eficienței și consecvenței acestora.
Cu un audit intern de securitate, puteți stabili o bază de referință de la care puteți măsura îmbunătățirile pentru viitoarele audituri. Deoarece aceste audituri interne sunt în esență gratuite (mai puțin angajamentul de timp), ele pot fi efectuate mai frecvent. În plus, colectarea și sortarea datelor relevante este simplificată, deoarece acestea nu sunt distribuite unei terțe părți. Un alt avantaj plăcut este că auditurile interne de securitate cauzează mai puține perturbări ale fluxului de lucru al angajaților.
Dacă alegeți să întreprindeți un audit intern de securitate, este imperativ să vă educați cu privire la cerințele de conformitate necesare pentru a susține protocoalele de securitate. Odată familiarizat, veți înțelege unde ar trebui să căutați – ceea ce înseamnă că sunteți gata să începeți auditul intern de securitate.
Iată cei cinci pași simpli și necostisitori pe care îi puteți face pentru a efectua un audit intern de securitate:
Definiți auditul
Prima dvs. sarcină în calitate de auditor este să definiți domeniul de aplicare al auditului dvs. – asta înseamnă că trebuie să scrieți o listă cu toate activele dvs. Activele includ lucruri evidente, cum ar fi echipamentele informatice și datele sensibile ale companiei și ale clienților, dar includ și lucruri fără de care afacerea ar necesita timp sau bani pentru a fi reparate, cum ar fi documentația internă importantă.
După ce aveți o listă lungă de active, trebuie să vă definiți perimetrul de securitate.
Un perimetru de securitate segmentează activele dvs. în două găleți: lucruri pe care le veți audita și lucruri pe care nu le veți audita. Este nerezonabil să vă așteptați să puteți audita totul. Alegeți cele mai valoroase active, construiți un perimetru de securitate în jurul lor și concentrați-vă 100% pe aceste active.
Definiți-vă amenințările
În continuare, luați lista de active valoroase și scrieți o listă corespunzătoare de amenințări potențiale la adresa acestor active.
Acest lucru poate varia de la parolele slabe ale angajaților care protejează datele sensibile ale companiei sau ale clienților, la atacuri DDoS (Denial of Service) și poate include chiar și încălcări fizice sau daune cauzate de un dezastru natural. În esență, orice amenințare potențială ar trebui să fie luată în considerare, atâta timp cât amenințarea poate costa în mod legitim afacerile dvs. o sumă semnificativă de bani.
Iată o listă de amenințări comune la care ar trebui să vă gândiți în timpul acestei etape:
- Angajați neglijenți: Angajații dvs. sunt prima linie de apărare – cât de bine pregătiți sunt aceștia pentru a observa activități suspecte (ex. phishing) și pentru a urma protocoalele de securitate stabilite de echipa dvs. Reutilizează ei parolele personale pentru a proteja conturile sensibile ale companiei?
- Atacuri de phishing: Autorii încălcărilor de securitate apelează din ce în ce mai des la escrocherii de phishing pentru a obține acces la informații sensibile. Peste 75% dintre atacurile de phishing au o motivație financiară.
- Comportamentul slab al parolelor: Folosite în 81% din cazurile de breșe legate de hacking, parolele slabe sau furate sunt metoda nr. 1 folosită de infractori.
- Insideri rău intenționați: Este important să țineți cont de faptul că este posibil să existe cineva în cadrul afacerii dvs. sau care are acces la datele dvs. prin intermediul unei conexiuni cu o terță parte, care să fure sau să folosească în mod abuziv informații sensibile.
- Atacuri DDos: Un atac DDoS (distributed denial-of-service) este ceea ce se întâmplă atunci când mai multe sisteme inundă un sistem vizat (de obicei un server web) și îl suprasolicită, făcându-l astfel inutilizabil.
- BYOD (Bring Your Own Device): Organizația dumneavoastră permite BYOD? Dacă da, suprafața de atac pentru infractori este mai mare și mai slabă. Orice dispozitiv care are acces la sistemele dumneavoastră trebuie să fie luat în considerare, chiar dacă nu este deținut de întreprinderea dumneavoastră.
- Malware: Aceasta reprezintă o serie de amenințări diferite, cum ar fi viermi, cai troieni, spyware și include o amenințare din ce în ce mai populară: ransomware.
- Infracțiune fizică sau dezastru natural: Deși puțin probabil, consecințele unuia sau ale ambelor lucruri pot fi incredibil de costisitoare. Cât de susceptibilă este organizația dumneavoastră?
Evaluați performanța actuală a securității
Acum că aveți lista de amenințări, trebuie să fiți sincer cu privire la capacitatea companiei dumneavoastră de a se apăra împotriva lor. În acest moment, evaluați performanța structurilor de securitate existente, ceea ce înseamnă că, în esență, evaluați performanța dumneavoastră, a echipei sau a departamentului dumneavoastră.
Acesta este un domeniu în care un audit extern poate oferi o valoare suplimentară, deoarece se asigură că nu există prejudecăți interne care să afecteze rezultatul auditului.
Este esențial pentru legitimitatea și eficacitatea auditului dvs. intern de securitate să încercați să blocați orice emoție sau prejudecată pe care o aveți în ceea ce privește evaluarea și aprecierea performanței dvs. până în prezent și a performanței departamentului dvs. în general.
Poate că echipa dvs. este deosebit de bună la monitorizarea rețelei și la detectarea amenințărilor, dar sunt angajații dvs. la curent cu cele mai recente metode folosite de hackeri pentru a obține acces la sistemele dvs. În calitate de primă linie de apărare, poate că ar trebui să cântăriți mai mult amenințările la adresa angajaților decât cele legate de detectarea rețelei. Desigur, acest lucru funcționează în ambele sensuri, în funcție de punctele forte și punctele slabe ale echipei dvs. în ceea ce privește amenințările cu care vă confruntați.
Factorizarea capacității organizației dvs. fie de a se apăra bine împotriva anumitor amenințări, fie de a păstra activele valoroase bine protejate este de neprețuit în timpul următorului pas: stabilirea priorităților.
Prioritizare (Scorul de risc)
Aceasta poate fi cea mai importantă sarcină pe care o aveți în calitate de auditor. Cum stabiliți prioritățile?
Preluați lista dvs. de amenințări și cântăriți pagubele potențiale ale apariției unei amenințări față de șansele ca aceasta să se producă efectiv (atribuind astfel un scor de risc pentru fiecare). De exemplu, un dezastru natural poate anula o afacere (scor de risc ridicat), dar dacă activele dvs. există într-un loc care nu a fost niciodată lovit de o catastrofă naturală, scorul de risc ar trebui să fie redus în consecință.
Nu uitați să includeți rezultatele evaluării actuale a performanței de securitate (pasul nr. 3) atunci când punctați amenințările relevante.
În timpul evaluării amenințărilor, este important să faceți un pas înapoi și să analizați factori suplimentari:
- Istoricul organizației dvs: Afacerea dvs. s-a confruntat în trecut cu un atac cibernetic sau o încălcare a securității cibernetice?
- Tendințele actuale în materie de securitate cibernetică: Care este metoda actuală aleasă de infractori? Ce amenințări sunt din ce în ce mai populare și care devin mai puțin frecvente? Ce soluții noi sunt disponibile pentru a se apăra împotriva anumitor amenințări?
- Tendințe la nivel de industrie: Să presupunem că lucrați în industria financiară, cum afectează acest lucru nu numai datele dumneavoastră, ci și probabilitatea unei încălcări? Ce tipuri de breșe sunt mai frecvente în industria dumneavoastră?
- Reglementare și conformitate: Sunteți o companie publică sau privată? Ce tip de date gestionați? Organizația dvs. stochează și/sau transmite informații financiare sau personale sensibile? Cine are acces la ce sisteme?Răspunsurile la aceste întrebări vor avea implicații asupra scorului de risc pe care îl atribuiți anumitor amenințări și asupra valorii pe care o acordați anumitor active.
Formulați soluții de securitate
Etapa finală a auditului dvs. de securitate internă este simplă – luați lista de amenințări prioritizate și scrieți o listă corespunzătoare de îmbunătățiri de securitate sau de bune practici pentru a le nega sau elimina. Această listă este acum lista dvs. personală de lucruri de făcut pentru următoarele săptămâni și luni.
Iată o listă de soluții de securitate comune la care să vă gândiți în timpul acestui pas:
- Conștientizarea educației angajaților: 50% dintre directori spun că nu au un program de instruire a angajaților privind conștientizarea securității. Acest lucru este inacceptabil. Angajații sunt cea mai slabă verigă în securitatea rețelei dumneavoastră – creați cursuri de formare pentru noii angajați și actualizări pentru cei existenți pentru a crea o conștientizare în jurul celor mai bune practici de securitate, cum ar fi cum să detectezi un e-mail de phishing.
- Protecție e-mail: Atacurile de phishing sunt din ce în ce mai populare în zilele noastre și sunt din ce în ce mai greu de identificat. Odată apăsat, un e-mail de phishing oferă făptașului o serie de opțiuni pentru a obține acces la datele dvs. prin instalarea de software. Filtrele de spam ajută, dar identificarea e-mailurilor ca fiind „interne” sau „externe” la rețeaua dumneavoastră este, de asemenea, foarte valoroasă (puteți adăuga acest lucru la fiecare subiect, astfel încât angajații să știe de unde provin e-mailurile).
- Securitatea parolelor și gestionarea accesului: Parolele sunt înșelătoare, deoarece trebuie să fie complexe și unice pentru fiecare cont. Oamenii pur și simplu nu sunt cablați pentru a reține zeci sau sute de parole și, prin urmare, au tendința fie să le refolosească, fie să le stocheze în documente Word neprotejate sau în blocnotes. Investiți într-un manager de parole de afaceri, eliminați reutilizarea parolelor, sporiți complexitatea parolelor și activați partajarea sigură a parolelor. În calitate de administrator, puteți, de asemenea, să gestionați cine are acces la ce parole în întreaga organizație, pentru a vă asigura că conturile sensibile sunt disponibile doar pentru personalul adecvat. Nu uitați să folosiți autentificarea cu doi factori pentru un nivel suplimentar de securitate.
- Monitorizarea rețelei: Infractorii încearcă de multe ori să obțină acces la rețeaua dumneavoastră. Vă puteți uita la software-ul de monitorizare a rețelei pentru a vă ajuta să vă alertați cu privire la orice activitate dubioasă, încercări de acces necunoscute și multe altele, pentru a vă ajuta să vă mențineți cu un pas înaintea oricăror intruși potențial dăunători. Aceste sisteme software, cum ar fi Darktrace, oferă protecție 24 de ore din 24, 7 zile din 7 și utilizează inteligența artificială pentru a ajuta la identificarea infracțiunilor cibernetice înainte ca acestea să aibă loc, dar sunt de obicei costisitoare.
- Backup de date: Este uimitor cât de des uită companiile acest pas simplu. Dacă se întâmplă ceva cu datele dvs., afacerea dvs. este probabil prăjită. Faceți o copie de rezervă a datelor în mod constant și asigurați-vă că acestea sunt în siguranță și separate în cazul unui atac malware sau al unui atac fizic asupra serverelor dvs. primare.
- Actualizări software: Menținerea tuturor celor din rețeaua dvs. pe cel mai recent software este de neprețuit pentru securizarea punctelor dvs. de acces. Puteți impune actualizări de software manual sau puteți utiliza un software precum Duo pentru a menține conturile dvs. sensibile blocate pentru angajații al căror software nu este actualizat.
Auditul dvs. de securitate internă este finalizat
Felicitări, acum aveți instrumentele necesare pentru a finaliza primul dvs. audit de securitate internă. Rețineți că auditul este un proces iterativ și necesită o revizuire continuă și îmbunătățiri pentru viitoarele audituri.
Primul dvs. audit de securitate ar trebui să fie folosit ca bază de referință pentru toate auditurile viitoare – măsurarea succeselor și eșecurilor în timp este singura modalitate de a evalua cu adevărat performanța.
Continuând să vă îmbunătățiți metodele și procesul, veți crea o atmosferă de revizuire consecventă a securității și vă veți asigura că sunteți întotdeauna în cea mai bună poziție pentru a vă proteja afacerea împotriva oricărui tip de amenințare la adresa securității.
Vă interesează un manager de parole de afaceri care să vă ajute să eliminați reutilizarea parolelor și să vă protejați împotriva neglijenței angajaților? Aruncați o privire la Dashlane Business, în care au încredere peste 7.000 de întreprinderi din întreaga lume și care este lăudat de întreprinderi mari și mici pentru eficiența sa în schimbarea comportamentului de securitate și simplitatea designului care permite adoptarea la nivelul întregii companii.
>.