Den interne sikkerhedsrevision er en god måde at få din virksomhed på rette vej til at beskytte sig mod databrud og andre dyre sikkerhedstrusler. Mange it- og sikkerhedseksperter betragter en sikkerhedsrevision som en stressende og dyr løsning til vurdering af deres virksomheds sikkerhedsoverholdelse (det er det også, da omkostningerne til ekstern sikkerhedsrevision svæver omkring 50.000 dollars). Men de overser det faktum, at med den rette uddannelse, de rette ressourcer og data kan en intern sikkerhedsrevision vise sig at være effektiv til at score sikkerheden i deres organisation og skabe kritisk, brugbar indsigt, der kan forbedre virksomhedens forsvar.
Der er fem trin, du skal tage for at sikre, at din interne sikkerhedsrevision vil give afkast af din investering:
- Detektivere din revision
- Detektivere dine trusler
- Vurdere den nuværende sikkerhedspræstation
- Prioritere (risikoscoring)
- Formulere sikkerhedsløsninger
Ekstern vs. Intern sikkerhedsrevision
Hvor vi dykker ned i detaljerne for hvert enkelt trin, er det vigtigt at forstå forskellen mellem en ekstern og intern sikkerhedsrevision. En ekstern sikkerhedsrevision har en utrolig værdi for virksomheder, men den er uoverkommelig dyr for mindre virksomheder og er stadig stærkt afhængig af samarbejdet og koordineringen mellem interne it- og sikkerhedsteams. Disse teams skal først og fremmest finde en respekteret og økonomisk overkommelig ekstern revisionspartner, men de skal også opstille mål/forventninger til revisorerne, levere alle relevante og nøjagtige data og gennemføre anbefalede ændringer.
Der er dog en grund til, at større organisationer er afhængige af eksterne revisioner (og at finansielle institutioner er forpligtet til at have eksterne revisioner i henhold til Gramm-Leach-Bliley Act) ud over de revisioner og vurderinger, der udføres af interne teams.
Eksterne revisioner udføres af erfarne fagfolk, der har alle de relevante værktøjer og software til at udføre en grundig revision – forudsat at de modtager de nødvendige data og anvisninger. Fordi de udføres af folk uden for virksomheden, sikrer det også, at ingen forretningsenhed bliver overset på grund af interne fordomme. Revisorer har den fordel, at de forstår alle sikkerhedsprotokoller og er uddannet til at opdage fejl i både fysiske og digitale systemer.
På trods af fordelene vælger mange it- og sikkerhedseksperter interne sikkerhedsrevisioner på grund af deres hurtighed, omkostninger, effektivitet og konsistens.
Med en intern sikkerhedsrevision kan du etablere en baseline, hvorfra du kan måle forbedringer i forbindelse med fremtidige revisioner. Da disse interne revisioner i det væsentlige er gratis (minus tidsforpligtelsen), kan de udføres oftere. Desuden er indsamling og sortering af relevante data forenklet, fordi de ikke distribueres til en tredjepart. En anden god fordel er, at interne sikkerhedsrevisioner medfører færre forstyrrelser i medarbejdernes arbejdsgange.
Hvis du vælger at foretage en intern sikkerhedsrevision, er det vigtigt, at du uddanner dig i de overensstemmelseskrav, der er nødvendige for at opretholde sikkerhedsprotokoller. Når du er fortrolig, har du en forståelse af, hvor du skal kigge – og det betyder, at du er klar til at påbegynde din interne sikkerhedsrevision.
Her er de fem enkle og billige trin, du kan tage for at gennemføre en intern sikkerhedsrevision:
Definér din revision
Din første opgave som revisor er at definere omfanget af din revision – det betyder, at du skal skrive en liste over alle dine aktiver ned. Aktiver omfatter indlysende ting som computerudstyr og følsomme virksomheds- og kundedata, men det omfatter også ting, uden hvilke virksomheden ville kræve tid eller penge at rette op på, f.eks. vigtig intern dokumentation.
Når du har en lang liste over aktiver, skal du definere din sikkerhedsperimeter.
En sikkerhedsperimeter segmenterer dine aktiver i to spande: ting, du vil auditere, og ting, du ikke vil auditere. Det er urimeligt at forvente, at du kan auditere alt. Vælg dine mest værdifulde aktiver, opbyg en sikkerhedsperimeter omkring dem, og læg 100 % af dit fokus på disse aktiver.
Definér dine trusler
Næst skal du tage din liste over værdifulde aktiver og skrive en tilsvarende liste over potentielle trusler mod disse aktiver.
Det kan være alt fra dårlige medarbejderadgangskoder, der beskytter følsomme virksomheds- eller kundedata, til DDoS-angreb (Denial of Service) og kan endda omfatte fysiske brud eller skader forårsaget af en naturkatastrofe. I det væsentlige bør enhver potentiel trussel overvejes, så længe truslen legitimt kan koste dine virksomheder en betydelig mængde penge.
Her er en liste over almindelige trusler, som du bør tænke på under dette trin:
- Uagtsomme medarbejdere: Dine medarbejdere er din første forsvarslinje – hvor godt er de uddannet til at bemærke mistænkelig aktivitet (f.eks. phishing) og til at følge de sikkerhedsprotokoller, der er fastlagt af dit team? Genbruger de personlige adgangskoder til at beskytte følsomme virksomhedskonti?
- Phishing-angreb: Forbrydere, der begår brud, benytter sig i stigende grad af phishing-svindel for at få adgang til følsomme oplysninger. Over 75 % af phishing-angreb er finansielt motiverede.
- Dårlig adfærd med hensyn til adgangskoder: Svage eller stjålne adgangskoder er den hyppigste metode, der anvendes af gerningsmændene i 81 % af de hackerrelaterede brud på sikkerheden.
- Ondsindede insidere: Det er vigtigt at tage højde for, at det er muligt, at der er en person i din virksomhed eller en person, der har adgang til dine data via en forbindelse med en tredjepart, som vil stjæle eller misbruge følsomme oplysninger.
- DDos-angreb: Et DDoS-angreb (distributed denial-of-service) er det, der sker, når flere systemer oversvømmer et målrettet system (typisk en webserver) og overbelaster det og dermed gør det ubrugeligt.
- BYOD (Bring Your Own Device): Tillader din organisation BYOD? Hvis ja, er angrebsfladen for gerningsmænd større og svagere. Der skal redegøres for enhver enhed, der har adgang til dine systemer, også selv om den ikke er ejet af din virksomhed.
- Malware: Dette omfatter en række forskellige trusler som f.eks. orme, trojanske heste, spyware og omfatter en stadig mere populær trussel: ransomware.
- Fysisk brud eller naturkatastrofe: Selv om det er usandsynligt, kan konsekvenserne af en af disse ting eller begge dele være utroligt dyre. Hvor modtagelig er din organisation?
Vurder den nuværende sikkerhedspræstation
Nu, hvor du har din liste over trusler, er du nødt til at være ærlig omkring din virksomheds evne til at forsvare sig mod dem. På dette tidspunkt evaluerer du præstationen af de eksisterende sikkerhedsstrukturer, hvilket betyder, at du i bund og grund evaluerer din egen, dit teams eller din afdelings præstation.
Dette er et område, hvor en ekstern revision kan give ekstra værdi, fordi den sikrer, at ingen interne fordomme påvirker resultatet af revisionen.
Det er afgørende for legitimiteten og effektiviteten af din interne sikkerhedsrevision at forsøge at blokere for alle følelser eller fordomme, som du har i forhold til at evaluere og vurdere din hidtidige præstation og din afdelings præstation i det hele taget.
Måske er dit team særlig godt til at overvåge dit netværk og opdage trusler, men er dine medarbejdere opdateret på de nyeste metoder, som hackere bruger til at få adgang til dine systemer? Som den første forsvarslinje bør du måske vægte trusler mod medarbejderne tungere end trusler i forbindelse med netværksdetektion. Dette fungerer naturligvis begge veje, afhængigt af dit teams styrker og svagheder i forhold til de trusler, du står over for.
Det er uvurderligt at tage højde for din organisations evne til enten at forsvare sig godt mod visse trusler eller holde værdifulde aktiver godt beskyttet under det næste trin: prioritering.
Prioritering (risikoscoring)
Dette er måske den vigtigste opgave, du har som revisor. Hvordan prioriterer du?
Tag din liste over trusler og afvej den potentielle skade ved en trussels indtræden i forhold til chancerne for, at den rent faktisk kan indtræffe (og tildeler således en risikoscore til hver enkelt). En naturkatastrofe kan f.eks. udslette en virksomhed (høj risikoscore), men hvis dine aktiver befinder sig et sted, der aldrig har været ramt af en naturkatastrofe, bør risikoscoren sænkes tilsvarende.
Glem ikke at medtage resultaterne af den aktuelle vurdering af sikkerhedspræstationer (trin 3), når du scorer relevante trusler.
Ved din trusselsvurdering er det vigtigt at tage et skridt tilbage og se på yderligere faktorer:
- Din organisations historie: Har din virksomhed tidligere oplevet et cyberangreb eller et brud på sikkerheden?
- Aktuelle cybersikkerhedstendenser: Hvad er den aktuelle metode, som gerningsmændene vælger? Hvilke trusler bliver mere og mere populære, og hvilke bliver mindre hyppige? Hvilke nye løsninger er der til rådighed til at forsvare sig mod visse trusler?
- Tendenser på brancheniveau: Hvis du f.eks. arbejder i den finansielle sektor, hvordan påvirker det ikke kun dine data, men også sandsynligheden for et brud? Hvilke typer af brud er mere udbredte i din branche?
- Regulering og overholdelse: Er du en offentlig eller privat virksomhed? Hvilken type data håndterer du? Opbevarer og/eller overfører din organisation følsomme finansielle eller personlige oplysninger? Hvem har adgang til hvilke systemer?Svarene på disse spørgsmål vil få betydning for den risikoscore, du tildeler visse trusler, og den værdi, du tillægger bestemte aktiver.
Formuler sikkerhedsløsninger
Det sidste trin i din interne sikkerhedsrevision er ligetil – tag din prioriterede liste over trusler, og skriv en tilsvarende liste over sikkerhedsforbedringer eller bedste praksis for at negere eller eliminere dem. Denne liste er nu din personlige to-do-liste for de kommende uger og måneder.
Her er en liste over almindelige sikkerhedsløsninger, som du kan tænke på i dette trin:
- Medarbejderuddannelse Bevidsthed: 50 % af lederne siger, at de ikke har et uddannelsesprogram for medarbejdernes sikkerhedsbevidsthed. Det er uacceptabelt. Medarbejderne er det svageste led i din netværkssikkerhed – opret uddannelse for nye medarbejdere og opdateringer for eksisterende medarbejdere for at skabe bevidsthed om bedste sikkerhedspraksis, f.eks. hvordan man opdager en phishing-e-mail.
- E-mail-beskyttelse: Phishing-angreb er stadig mere populære i dag, og de bliver stadig sværere at identificere. Når der først er klikket på en phishing-e-mail, giver en gerningsmand en række muligheder for at få adgang til dine data via softwareinstallation. Spamfiltre hjælper, men det er også meget værdifuldt at identificere e-mails som “interne” eller “eksterne” til dit netværk (du kan tilføje dette til hver emnelinje, så medarbejderne ved, hvor e-mails stammer fra).
- Adgangskodebeskyttelse og adgangsstyring: Adgangskoder er vanskelige, fordi de skal være komplekse og unikke for hver enkelt konto. Mennesker er simpelthen ikke gearet til at huske titusindvis eller hundredevis af adgangskoder og har derfor en tendens til enten at genbruge dem eller gemme dem i ubeskyttede Word-dokumenter eller notesblokke. Invester i en adgangskodeadministrator til virksomheder, undgå genbrug af adgangskoder, gør adgangskoderne mere komplekse, og aktiver sikker deling af adgangskoder. Som administrator kan du også administrere, hvem der har adgang til hvilke adgangskoder i hele organisationen, så du sikrer, at følsomme konti kun er tilgængelige for det relevante personale. Glem ikke at bruge to-faktor-autentificering for at opnå et ekstra sikkerhedslag.
- Netværksovervågning: Gerningsmænd forsøger ofte at få adgang til dit netværk. Du kan kigge på software til netværksovervågning, der kan hjælpe dig med at advare dig om enhver tvivlsom aktivitet, ukendte adgangsforsøg og meget mere, så du kan holde dig et skridt foran potentielt skadelige ubudne gæster. Disse softwaresystemer, som Darktrace, tilbyder beskyttelse døgnet rundt og bruger kunstig intelligens til at hjælpe med at identificere cyberkriminalitet, før den finder sted, men de er typisk til den dyre side.
- Databackup: Det er forbløffende, hvor ofte virksomheder glemmer dette enkle trin. Hvis der sker noget med dine data, er din virksomhed sandsynligvis ristet. Tag konsekvent backup af dine data, og sørg for, at de er sikre og adskilte i tilfælde af et malwareangreb eller et fysisk angreb på dine primære servere.
- Softwareopdateringer: At holde alle på dit netværk på den nyeste software er uvurderligt i forbindelse med sikring af dine adgangspunkter. Du kan håndhæve softwareopdateringer manuelt, eller du kan bruge en software som Duo til at holde dine følsomme konti låst for medarbejdere, hvis software ikke er opdateret.
Din interne sikkerhedsrevision er færdig
Gratulater, du har nu værktøjerne til at gennemføre din første interne sikkerhedsrevision. Husk på, at auditering er en iterativ proces og kræver fortsat gennemgang og forbedringer til fremtidige audits.
Din første sikkerhedsrevision bør bruges som udgangspunkt for alle fremtidige audits – måling af din succes og dine fejl over tid er den eneste måde, hvorpå du virkelig kan vurdere dine resultater.
Ved fortsat at forbedre dine metoder og processer skaber du en atmosfære af konsekvent sikkerhedsrevision og sikrer, at du altid er i den bedste position til at beskytte din virksomhed mod enhver form for sikkerhedstrussel.
Interesseret i en adgangskodeadministrator til virksomheder, der kan hjælpe dig med at eliminere genbrug af adgangskoder og beskytte mod medarbejdernes forsømmelighed? Tjek Dashlane Business, som over 7.000 virksomheder verden over stoler på, og som roses af store og små virksomheder for sin effektivitet i forhold til at ændre sikkerhedsadfærd og for sit enkle design, der gør det muligt at anvende den i hele virksomheden.