How to Conduct an Internal Security Audit in Five Simple, Inexpensive Steps

Sisäisen tietoturva-auditoinnin suorittaminen on hyvä tapa saada yrityksesi oikealle tielle suojautumaan tietomurroilta ja muilta kalliilta tietoturvauhilta. Monet IT- ja tietoturva-alan ammattilaiset pitävät tietoturva-auditointia stressaavana ja kalliina ratkaisuna organisaation tietoturvavaatimustenmukaisuuden arviointiin (sitä se onkin, sillä ulkoisen tietoturva-auditoinnin kustannukset liikkuvat 50 000 dollarin luokassa). He jättävät kuitenkin huomiotta sen tosiasian, että oikealla koulutuksella, resursseilla ja tiedoilla sisäinen tietoturvatarkastus voi osoittautua tehokkaaksi organisaation tietoturvan arvioinnissa ja luoda kriittisiä, käyttökelpoisia näkemyksiä yrityksen puolustuksen parantamiseksi.

On viisi vaihetta, jotka sinun on otettava varmistaaksesi, että sisäinen tietoturva-auditointisi tuottaa tuottoa investoinnillesi:

1. Auditoinnin määrittely
2. Uhkien määrittely
3. Tämänhetkisen tietoturvan suorituskyvyn arvioiminen
4. Priorisointi (riskien pisteytys)
5. Turvaratkaisujen muotoileminen

Ulkopuolinen vs. ulkoinen. Sisäinen tietoturva-auditointi

Ennen kuin syvennymme kunkin vaiheen yksityiskohtiin, on tärkeää ymmärtää ulkoisen ja sisäisen tietoturva-auditoinnin ero. Ulkoisella tietoturva-auditoinnilla on uskomaton arvo yrityksille, mutta se on pienemmille yrityksille kohtuuttoman kallis, ja se on edelleen vahvasti riippuvainen sisäisten IT- ja tietoturvaryhmien yhteistyöstä ja koordinoinnista. Näiden tiimien on ennen kaikkea löydettävä arvostettu ja edullinen ulkoisen auditoinnin yhteistyökumppani, mutta niiden on myös asetettava tavoitteet/odotukset auditoijille, toimitettava kaikki asiaankuuluvat ja tarkat tiedot ja toteutettava suositellut muutokset.

Siltikin on olemassa syy siihen, miksi suuremmat organisaatiot luottavat ulkoisiin tarkastuksiin (ja miksi rahoituslaitoksilta vaaditaan ulkoisia tarkastuksia Gramm-Leach-Bliley-lain mukaisesti) sisäisten tiimien tekemien tarkastusten ja arviointien lisäksi.

Ulkoisia tarkastuksia tekevät kokeneet ammattilaiset, joilla on kaikki asianmukaiset työkalut ja ohjelmistot perusteellisen tarkastuksen suorittamiseen – olettaen, että he saavat tarvittavat tiedot ja ohjeet. Koska niitä suorittavat liiketoiminnan ulkopuoliset henkilöt, varmistetaan myös, ettei yksikään liiketoimintayksikkö jää huomiotta sisäisten ennakkoluulojen vuoksi. Tarkastajien etuna on, että he ymmärtävät kaikki turvallisuusprotokollat, ja heidät on koulutettu havaitsemaan puutteita sekä fyysisissä että digitaalisissa järjestelmissä.

Hyödyistä huolimatta monet IT- ja tietoturva-ammattilaiset valitsevat sisäiset tietoturva-auditoinnit niiden nopeuden, kustannusten, tehokkuuden ja johdonmukaisuuden vuoksi.

Sisäisen tietoturva-auditoinnin avulla voit luoda lähtötason, jonka perusteella voit mitata parannuksia tulevia tarkastuksia varten. Koska nämä sisäiset auditoinnit ovat periaatteessa ilmaisia (miinus ajallinen sitoutuminen), niitä voidaan tehdä useammin. Lisäksi asiaankuuluvien tietojen kerääminen ja lajittelu yksinkertaistuu, koska niitä ei jaeta kolmannelle osapuolelle. Toinen mukava etu on se, että sisäiset tietoturvatarkastukset häiritsevät vähemmän työntekijöiden työnkulkua.

Jos päätät tehdä sisäisen tietoturvatarkastuksen, on ehdottoman tärkeää, että perehdyt tietoturvaprotokollien noudattamiseen tarvittaviin vaatimustenmukaisuusvaatimuksiin. Kun olet perehtynyt, ymmärrät, mihin sinun pitäisi kiinnittää huomiota – ja se tarkoittaa, että olet valmis aloittamaan sisäisen turvallisuustarkastuksen.

Tässä on viisi yksinkertaista ja edullista vaihetta, jotka voit toteuttaa sisäisen tietoturva-auditoinnin suorittamiseksi:

Auditoinnin määrittely

Ensimmäisenä tehtävänäsi auditoijana on määritellä auditoinnin laajuus – se tarkoittaa, että sinun täytyy kirjoittaa muistiin luettelo kaikesta omaisuudestasi. Omaisuuseriin kuuluvat ilmeiset asiat, kuten tietokonelaitteet ja arkaluonteiset yritys- ja asiakastiedot, mutta siihen kuuluvat myös asiat, joiden korjaaminen ilman niitä vaatisi yritykseltä aikaa tai rahaa, kuten tärkeä sisäinen dokumentaatio.

Kun sinulla on pitkä luettelo omaisuuseristä, sinun on määriteltävä suojausalueesi.

Turva-alueella omaisuuserät jaetaan kahteen kauhaan: asioihin, jotka tarkastat, ja asioihin, joita et tarkasta. On kohtuutonta odottaa, että voit tarkastaa kaiken. Valitse arvokkaimmat omaisuutesi, rakenna niiden ympärille turvapiiri ja keskity 100-prosenttisesti näihin omaisuuseriin.

Määrittele uhkasi

Seuraavaksi ota luettelo arvokkaista omaisuuseristäsi ja kirjoita vastaava luettelo kyseisiin omaisuuseriin kohdistuvista mahdollisista uhkista.

Nämä voivat vaihdella työntekijän huonoista salasanoista, jotka suojaavat arkaluonteisia yritys- tai asiakastietojasi, DDoS-hyökkäyksiin (palvelunestohyökkäykset), ja ne voivat käsittää myös fyysisiä loukkauksia tai luonnonkatastrofien aiheuttamia vahinkoja. Pohjimmiltaan kaikki mahdolliset uhat tulisi ottaa huomioon, kunhan uhka voi laillisesti aiheuttaa yrityksellesi merkittäviä kustannuksia.

Tässä on luettelo yleisimmistä uhkista, joita sinun tulisi miettiä tässä vaiheessa:

• Huolimattomat työntekijät: Kuinka hyvin heidät on koulutettu huomaamaan epäilyttävää toimintaa (esim. phishing) ja noudattamaan tiimisi määrittelemiä turvaprotokollia? Käyttävätkö he henkilökohtaisia salasanoja yrityksen arkaluonteisten tilien suojaamiseen?
• Phishing-hyökkäykset: Tietomurtojen tekijät turvautuvat yhä useammin phishing-huijauksiin päästäkseen käsiksi arkaluonteisiin tietoihin. Yli 75 % phishing-hyökkäyksistä on taloudellisesti motivoituja.
• Huono salasanakäyttäytyminen: Heikot tai varastetut salasanat ovat 81 prosentissa hakkerointiin liittyvistä murroista rikoksentekijöiden käyttämä menetelmä numero yksi.
• Haitalliset sisäpiiriläiset:

• DDos-hyökkäykset: Hajautettu palvelunestohyökkäys (DDoS-hyökkäys) tarkoittaa sitä, että useat järjestelmät tulvivat kohteena olevaan järjestelmään (tyypillisesti verkkopalvelimeen) ja ylikuormittavat sen, jolloin se muuttuu käyttökelvottomaksi.
• BYOD (Bring Your Own Device): Salliiko organisaatiosi BYOD? Jos näin on, hyökkääjien hyökkäyspinta on suurempi ja heikompi. Kaikki laitteet, joilla on pääsy järjestelmiisi, on otettava huomioon, vaikka ne eivät olisikaan yrityksesi omistuksessa.
• Haittaohjelmat: Tähän kuuluu useita erilaisia uhkia, kuten matoja, troijalaisia hevosia, vakoiluohjelmia, ja siihen sisältyy yhä suositumpi uhka: lunnasohjelmat.
• Fyysinen tietomurto tai luonnonkatastrofi: Vaikka se on epätodennäköistä, jommankumman tai molempien seuraukset voivat olla uskomattoman kalliita. Kuinka altis organisaatiosi on?

Arvioi nykyinen tietoturvasuorituskyky

Nyt kun sinulla on uhkaluettelo, sinun on oltava rehellinen yrityksesi kyvystä puolustautua niitä vastaan. Tässä vaiheessa arvioit nykyisten tietoturvarakenteiden suorituskykyä, mikä tarkoittaa lähinnä sitä, että arvioit oman itsesi, tiimisi tai osastosi suorituskykyä.

Tämä on yksi osa-alue, jolla ulkoinen auditointi voi tarjota lisäarvoa, koska se varmistaa, että sisäiset ennakkoluulot eivät vaikuta auditoinnin tulokseen.

Sisäisen turvallisuustarkastuksen laillisuuden ja tehokkuuden kannalta on ratkaisevan tärkeää, että yrität sulkea pois kaikki tunteet tai ennakkoluulot, joita sinulla on tähänastisen suorituskykysi ja koko osastosi suorituskyvyn arvioinnissa ja arvioinnissa.

Mahdollisesti tiimisi on erityisen hyvä valvomaan verkkoasi ja havaitsemaan uhkia, mutta ovatko työntekijäsi ajan tasalla uusimmista menetelmistä, joita hakkerit käyttävät päästäkseen järjestelmiisi? Ensimmäisenä puolustuslinjana sinun pitäisi ehkä painottaa työntekijöihin kohdistuvia uhkia enemmän kuin verkon havaitsemiseen liittyviä uhkia. Tämä toimii tietysti molempiin suuntiin riippuen tiimisi vahvuuksista ja heikkouksista suhteessa kohtaamiisi uhkiin.

Organisaatiosi kyvyn joko puolustautua hyvin tiettyjä uhkia vastaan tai pitää arvokkaat omaisuuserät hyvin suojattuina on korvaamattoman tärkeää seuraavassa vaiheessa: priorisoinnissa.

Priorisointi (riskien pisteytys)

Tämä saattaa olla tärkein tehtäväsi tarkastajana. Miten priorisoit?

Ota uhkien luettelo ja punnitse uhan toteutumisen potentiaalista vahinkoa verrattuna mahdollisuuksiin, että uhka todella voi toteutua (ja anna näin jokaiselle uhalle riskipistemäärä). Esimerkiksi luonnonkatastrofi voi tuhota yrityksen (korkea riskipistemäärä), mutta jos omaisuutesi sijaitsee paikassa, jota ei ole koskaan koetellut luonnonkatastrofi, riskipistemäärää on alennettava vastaavasti.

Älä unohda ottaa huomioon nykyisen tietoturvan suorituskyvyn arvioinnin tulokset (vaihe 3), kun pisteytät asiaankuuluvia uhkia.

Uhka-arvionnin aikana on tärkeää ottaa askel taaksepäin ja tarkastella muita tekijöitä:

• Organisaatiosi historia: Onko yrityksesi kokenut kyberhyökkäyksen tai tietomurron aiemmin?
• Nykyiset kyberturvallisuussuuntaukset: Mikä on nykyisin rikoksentekijöiden valitsema menetelmä? Mitkä uhat kasvattavat suosiotaan ja mitkä harvinaistuvat? Mitä uusia ratkaisuja on saatavilla tiettyjen uhkien torjumiseksi?
• Toimialakohtaiset suuntaukset: Sanotaan, että työskentelet rahoitusalalla, miten se vaikuttaa paitsi tietoihin myös tietomurron todennäköisyyteen? Minkä tyyppiset tietoturvaloukkaukset ovat yleisempiä toimialallasi?
• Sääntely ja vaatimustenmukaisuus: Oletko julkinen vai yksityinen yritys? Millaisia tietoja käsittelette? Säilyttääkö ja/tai lähettääkö organisaatiosi arkaluonteisia taloudellisia tai henkilökohtaisia tietoja? Kenellä on pääsy mihin järjestelmiin?Vastaukset näihin kysymyksiin vaikuttavat riskipisteytykseen, jonka annat tietyille uhkille, ja arvoon, jonka annat tietyille omaisuuserille.

Turvaratkaisujen laatiminen

Sisäisen tietoturva-auditointisi viimeinen vaihe on suoraviivainen – ota tärkeysjärjestykseen asettamasi uhkakuvausluettelo käyttöön ja kirjoita ylös sitä vastaava luettelo tietoturvaan liittyvistä parannuksista tai parhaista käytänteistä, joiden avulla voit mitätöidä uhkatekijät tai poistaa ne. Tämä luettelo on nyt henkilökohtainen tehtäväluettelosi tuleviksi viikoiksi ja kuukausiksi.

Tässä on luettelo yleisimmistä tietoturvaratkaisuista, joita voit miettiä tämän vaiheen aikana:

• Työntekijöiden koulutustietoisuus: 50 prosenttia johtajista sanoo, ettei heillä ole työntekijöiden tietoturvatietoisuuden koulutusohjelmaa. Tätä ei voida hyväksyä. Työntekijät ovat verkkoturvallisuutesi heikoin lenkki – luo koulutusta uusille työntekijöille ja päivityksiä nykyisille työntekijöille tietoisuuden luomiseksi parhaista tietoturvakäytännöistä, kuten siitä, miten tunnistaa phishing-sähköposti.
• Sähköpostisuojaus: Phishing-hyökkäykset ovat nykyään yhä suositumpia, ja niitä on yhä vaikeampi tunnistaa. Kun phishing-sähköposti on napsautettu, se antaa tekijälle useita vaihtoehtoja päästä käsiksi tietoihisi ohjelmiston asennuksen kautta. Roskapostisuodattimista on apua, mutta myös sähköpostiviestien tunnistaminen ”sisäiseksi” tai ”ulkoiseksi” verkostossasi on erittäin arvokasta (voit lisätä sen jokaisen viestin otsikkoriville, jotta työntekijät tietävät, mistä sähköpostiviestit ovat peräisin).
• Salasanojen suojaus ja käyttöoikeuksien hallinta: Salasanat ovat hankalia, koska niiden on oltava monimutkaisia ja yksilöllisiä jokaiselle tilille. Ihmisiä ei yksinkertaisesti ole luotu muistamaan kymmeniä tai satoja salasanoja, ja siksi heillä on taipumus joko käyttää niitä uudelleen tai säilyttää niitä suojaamattomissa Word-dokumenteissa tai muistilapuissa. Investoi yrityksen salasanahallintaan, poista salasanojen uudelleenkäyttö, lisää salasanojen monimutkaisuutta ja ota käyttöön salasanojen turvallinen jakaminen. Ylläpitäjänä voit myös hallita, kenellä on pääsy mihinkin salasanoihin koko organisaatiossa, jotta voit varmistaa, että arkaluonteiset tilit ovat vain asianmukaisen henkilöstön käytettävissä. Älä unohda käyttää kaksitekijätodennusta lisäturvaksi.
• Verkon valvonta: Rikoksentekijät yrittävät usein päästä verkkoonne. Voit tutustua verkonvalvontaohjelmistoon, joka auttaa varoittamaan sinua kyseenalaisesta toiminnasta, tuntemattomista pääsyyrityksistä ja muusta, jotta pysyt askeleen edellä mahdollisia haitallisia tunkeutujia. Nämä ohjelmistojärjestelmät, kuten Darktrace, tarjoavat ympärivuorokautista suojaa ja käyttävät tekoälyä auttaakseen tunnistamaan tietoverkkorikokset ennen niiden tapahtumista, mutta ne ovat yleensä kalliita.
• Tietojen varmuuskopiointi: On hämmästyttävää, kuinka usein yritykset unohtavat tämän yksinkertaisen vaiheen. Jos tiedoillesi tapahtuu jotain, yrityksesi on todennäköisesti mennyttä. Varmuuskopioi tietosi johdonmukaisesti ja varmista, että ne ovat turvassa ja erillään haittaohjelmahyökkäyksen tai ensisijaisiin palvelimiin kohdistuvan fyysisen hyökkäyksen varalta.
• Ohjelmistopäivitykset: Kaikkien verkossasi olevien henkilöiden pitäminen uusimmalla ohjelmistolla on korvaamattoman tärkeää yhteyspisteidesi suojaamisen kannalta. Voit valvoa ohjelmistopäivityksiä manuaalisesti, tai voit käyttää Duon kaltaista ohjelmistoa pitämään arkaluonteiset tilisi lukittuina työntekijöiltä, joiden ohjelmisto ei ole ajan tasalla.

Sisäinen tietoturva-auditointisi on valmis

Onneksi olkoon, sinulla on nyt työkalut ensimmäisen sisäisen tietoturva-auditointisi suorittamiseen. Muista, että auditointi on iteratiivinen prosessi ja edellyttää jatkuvaa tarkastelua ja parannuksia tulevia auditointeja varten.

Ensimmäistä tietoturva-auditointiasi tulisi käyttää lähtötasona kaikille tuleville auditoinneille – onnistumisten ja epäonnistumisten mittaaminen ajan mittaan on ainoa tapa arvioida suorituskykyä aidosti.

Jatkamalla menetelmien ja prosessin parantamista luot johdonmukaisen tietoturvatarkastuksen ilmapiirin ja varmistat, että olet aina parhaassa asemassa suojellaksesi yritystäsi kaikenlaisilta tietoturvauhkilta.

Kiinnostuitko yrityksen salasanahallintaohjelmasta, joka auttaisi sinua poistamaan salasanojen uudelleenkäytön ja suojautumaan työntekijöiden huolimattomuudelta? Tutustu Dashlane Businessiin, johon luottaa yli 7000 yritystä ympäri maailmaa ja jota isot ja pienet yritykset kehuvat sen tehokkuudesta tietoturvakäyttäytymisen muuttamisessa ja suunnittelun yksinkertaisuudesta, joka mahdollistaa koko yrityksen käyttöönoton.