A belső biztonsági audit elvégzése nagyszerű módja annak, hogy vállalatát a helyes útra terelje az adatok megsértése és más költséges biztonsági fenyegetések elleni védelem felé. Sok informatikai és biztonsági szakember úgy gondol a biztonsági auditra, mint a szervezet biztonsági megfelelőségének felmérésére szolgáló stresszes, drága megoldásra (ez így is van, a külső biztonsági audit költségei 50 ezer dollár körül mozognak). Ám figyelmen kívül hagyják azt a tényt, hogy a megfelelő képzéssel, erőforrásokkal és adatokkal a belső biztonsági audit eredményesnek bizonyulhat a szervezetük biztonságának pontozásában, és kritikus, hasznosítható felismeréseket hozhat létre a vállalat védelmének javítása érdekében.
Öt lépést kell megtennie ahhoz, hogy a belső biztonsági audit megtérüljön:
- Az audit meghatározása
- A fenyegetések meghatározása
- A jelenlegi biztonsági teljesítmény értékelése
- Priorizálás (kockázati pontozás)
- Biztonsági megoldások kidolgozása
Külső vs. küls. Belső biztonsági ellenőrzés
Mielőtt belemerülnénk az egyes lépések sajátosságaiba, fontos megérteni a külső és a belső biztonsági ellenőrzés közötti különbséget. A külső biztonsági audit hihetetlen értéket képvisel a vállalatok számára, de a kisebb vállalkozások számára megfizethetetlenül drága, és még mindig nagymértékben függ a belső IT- és biztonsági csapatok együttműködésétől és koordinációjától. Ezeknek a csapatoknak mindenekelőtt meg kell találniuk egy elismert és megfizethető külső auditáló partnert, de emellett célokat/elvárásokat kell kitűzniük az auditorok számára, meg kell adniuk az összes releváns és pontos adatot, és végre kell hajtaniuk a javasolt változtatásokat.
Mégis van oka annak, hogy a nagyobb szervezetek a belső csapatok által végzett ellenőrzéseken és értékeléseken felül miért támaszkodnak külső auditokra (és hogy a pénzügyi intézményeknek a Gramm-Leach-Bliley törvény értelmében miért kell külső auditokat végezniük).
A külső auditokat tapasztalt szakemberek végzik, akik minden megfelelő eszközzel és szoftverrel rendelkeznek egy alapos audit elvégzéséhez – feltéve, hogy megkapják a szükséges adatokat és utasításokat. Mivel ezeket az auditokat az üzletágon kívüli személyek végzik, ez azt is biztosítja, hogy egyetlen üzletágat sem hagynak figyelmen kívül a belső elfogultságok miatt. Az auditorok előnye, hogy ismerik az összes biztonsági protokollt, és képzettek a fizikai és digitális rendszerek hibáinak kiszűrésére.
Az előnyök ellenére sok informatikai és biztonsági szakember a belső biztonsági auditok mellett dönt a gyorsaság, a költségek, a hatékonyság és a következetesség miatt.
A belső biztonsági audit segítségével létrehozhat egy alapszintet, amelyhez képest mérheti a javulást a jövőbeli auditok során. Mivel ezek a belső auditok lényegében ingyenesek (mínusz az időigény), gyakrabban is elvégezhetők. Ráadásul a releváns adatok összegyűjtése és rendezése is egyszerűsödik, mivel azokat nem kell harmadik félnek továbbítani. Egy másik kellemes előny, hogy a belső biztonsági auditok kevésbé zavarják az alkalmazottak munkafolyamatát.
Ha úgy dönt, hogy belső biztonsági auditot végez, elengedhetetlen, hogy megismerje a biztonsági protokollok betartásához szükséges megfelelőségi követelményeket. Ha már megismerkedett vele, tisztában lesz azzal, hogy hol kell keresnie – és ez azt jelenti, hogy készen áll a belső biztonsági ellenőrzés megkezdésére.
Itt van az az öt egyszerű és olcsó lépés, amelyet a belső biztonsági audit elvégzéséhez megtehet:
Define Your Audit
Az első feladata auditorként az, hogy meghatározza az audit hatókörét – ez azt jelenti, hogy fel kell írnia egy listát az összes eszközéről. Az eszközök közé tartoznak a nyilvánvaló dolgok, például a számítógépes berendezések és az érzékeny vállalati és ügyféladatok, de ide tartoznak azok a dolgok is, amelyek nélkül a vállalkozásnak időbe vagy pénzbe kerülne a kijavításuk, például a fontos belső dokumentáció.
Amikor már rendelkezik az eszközök hosszú listájával, meg kell határoznia a biztonsági körzetét.
A biztonsági körzet két vödörre osztja az eszközeit: olyan dolgokra, amelyeket auditálni fog, és olyanokra, amelyeket nem fog auditálni. Ésszerűtlen elvárni, hogy mindent auditálni tudjon. Válassza ki a legértékesebb eszközeit, építsen köréjük egy biztonsági kerületet, és 100%-ban ezekre az eszközökre összpontosítson.
Fenyegetések meghatározása
Ezután vegye az értékes eszközök listáját, és írja össze az ezeket az eszközöket fenyegető potenciális fenyegetések megfelelő listáját.
Ezek közé tartozhatnak az érzékeny vállalati vagy ügyféladatokat védő rossz alkalmazotti jelszavak, a DDoS (Denial of Service) támadások, sőt, a fizikai jogsértések vagy egy természeti katasztrófa által okozott károk is. Lényegében minden potenciális fenyegetést figyelembe kell venni, amennyiben a fenyegetés jogosan jelentős pénzösszegbe kerülhet a vállalkozásának.
Itt van egy lista a leggyakoribb fenyegetésekről, amelyekre érdemes gondolnia e lépés során:
- Hanyag alkalmazottak: Mennyire képzettek arra, hogy észrevegyék a gyanús tevékenységeket (pl. adathalászat) és kövessék a csapata által meghatározott biztonsági protokollokat? Újra használják-e a személyes jelszavakat az érzékeny vállalati fiókok védelmére?
- Adathalász-támadások: A betörések elkövetői egyre gyakrabban fordulnak az adathalász csalásokhoz, hogy hozzáférjenek az érzékeny információkhoz. Az adathalász-támadások több mint 75%-a pénzügyileg motivált.
- Rossz jelszóhasználat:
- Rosszindulatú bennfentesek: A hacker támadások 81%-ában a gyenge vagy lopott jelszavak az elkövetők által használt első számú módszer.
- Rosszindulatú bennfentesek: Fontos figyelembe venni, hogy lehetséges, hogy van valaki a vállalaton belül, vagy aki egy harmadik féllel való kapcsolaton keresztül hozzáfér az adatokhoz, aki ellopná vagy visszaélne az érzékeny információkkal.
- DDos-támadások: Az elosztott szolgáltatásmegtagadásos (DDoS) támadás az, ami akkor történik, amikor több rendszer eláraszt egy célzott rendszert (általában egy webszerver), és túlterheli azt, így használhatatlanná téve azt.
- BYOD (Bring Your Own Device): Engedélyezi az Ön szervezete a BYOD-ot? Ha igen, akkor az elkövetők támadási felülete nagyobb és gyengébb. Minden olyan eszközzel számolni kell, amely hozzáfér a rendszerekhez, még akkor is, ha az nem a vállalkozás tulajdonában van.
- Rosszindulatú programok: Ide számos különböző fenyegetés tartozik, például férgek, trójai programok, kémprogramok, és ide tartozik egy egyre népszerűbb fenyegetés: a zsarolóprogramok.
- Fizikai behatolás vagy természeti katasztrófa: Bár valószínűtlen, de az egyik vagy mindkettő következményei hihetetlenül költségesek lehetnek. Mennyire érzékeny az Ön szervezete?
A jelenlegi biztonsági teljesítmény értékelése
Most, hogy megvan a fenyegetések listája, őszintének kell lennie azzal kapcsolatban, hogy a vállalata mennyire képes védekezni ellenük. Ezen a ponton a meglévő biztonsági struktúrák teljesítményét értékeli, ami azt jelenti, hogy lényegében saját maga, a csapata vagy az osztálya teljesítményét értékeli.
Ez az egyik olyan terület, ahol egy külső audit további értéket nyújthat, mivel biztosítja, hogy semmilyen belső elfogultság nem befolyásolja az audit eredményét.
A belső biztonsági audit jogossága és hatékonysága szempontjából döntő fontosságú, hogy megpróbáljon kizárni minden érzelmet vagy elfogultságot, amelyet az eddigi teljesítménye, illetve általában az osztálya teljesítményének értékelésével és megítélésével kapcsolatban érez.
Talán az Ön csapata különösen jó a hálózat felügyeletében és a fenyegetések észlelésében, de vajon az alkalmazottai naprakészek-e a hackerek által a rendszerekhez való hozzáférés megszerzésére használt legújabb módszerek terén? Első védelmi vonalként talán nagyobb súlyt kellene helyeznie az alkalmazottak elleni fenyegetésekre, mint a hálózat észlelésével kapcsolatos fenyegetésekre. Természetesen ez mindkét irányba működik, attól függően, hogy az Ön csapatának milyen erősségei és gyengeségei vannak az Önt fenyegető veszélyekkel kapcsolatban.
A következő lépés során: a fontossági sorrend felállítása során felbecsülhetetlen értékű, hogy a szervezet képes-e jól védekezni bizonyos fenyegetések ellen, vagy jól megőrizni értékes eszközeit.
Priorizálás (kockázatértékelés)
Ez lehet a legfontosabb feladat, amit könyvvizsgálóként végezhet. Hogyan kell rangsorolni?
Vegye a fenyegetések listáját, és mérlegelje a fenyegetés bekövetkezésének potenciális kárát a tényleges bekövetkezésének esélyével szemben (így mindegyikhez kockázati pontszámot rendelve). Például egy természeti katasztrófa megsemmisíthet egy vállalkozást (magas kockázati pontszám), de ha az eszközei olyan helyen vannak, amelyet még soha nem ért természeti katasztrófa, a kockázati pontszámot ennek megfelelően csökkenteni kell.
Ne felejtse el figyelembe venni a jelenlegi biztonsági teljesítményértékelés (3. lépés) eredményeit a releváns fenyegetések pontozásakor.
A fenyegetések értékelése során fontos, hogy egy lépést hátralépjen, és további tényezőket vegyen figyelembe:
- A szervezet története:
- Jelenlegi kiberbiztonsági trendek: Milyen módszert választanak jelenleg az elkövetők? Mely fenyegetések egyre népszerűbbek, és melyek azok, amelyek egyre ritkábbak? Milyen új megoldások állnak rendelkezésre bizonyos fenyegetések elleni védekezésre?
- Ágazati szintű trendek: Tegyük fel, hogy Ön a pénzügyi ágazatban dolgozik, hogyan befolyásolja ez nemcsak az Ön adatait, hanem a betörés valószínűségét is? Milyen típusú jogsértések fordulnak elő gyakrabban az Ön iparágában?
- Szabályozás és megfelelés: Ön állami vagy magáncég? Milyen típusú adatokat kezel? Az Ön szervezete tárol és/vagy továbbít érzékeny pénzügyi vagy személyes adatokat? Kinek milyen rendszerekhez van hozzáférése?Az ezekre a kérdésekre adott válaszok hatással lesznek az egyes fenyegetésekhez rendelt kockázati pontszámra és az egyes eszközök értékére.
Biztonsági megoldások megfogalmazása
A belső biztonsági audit utolsó lépése egyszerű: vegye a fenyegetések rangsorolt listáját, és írja össze a fenyegetések elhárítására vagy megszüntetésére szolgáló biztonsági fejlesztések vagy legjobb gyakorlatok megfelelő listáját. Ez a lista mostantól az Ön személyes teendőinek listája az elkövetkező hetekre és hónapokra.
Itt van egy lista a leggyakoribb biztonsági megoldásokról, amelyekre gondolhat ebben a lépésben:
- Munkavállalói oktatás tudatosság: A vezetők 50%-a állítja, hogy nincs biztonsági tudatossági képzési programja a dolgozóknak. Ez elfogadhatatlan. Az alkalmazottak a leggyengébb láncszem a hálózatbiztonságban – hozzon létre képzést az új alkalmazottak számára és frissítéseket a meglévők számára, hogy tudatosságot teremtsen a legjobb biztonsági gyakorlatokkal kapcsolatban, például hogyan ismerje fel az adathalász e-maileket.
- E-mail védelem: Az adathalász-támadások manapság egyre népszerűbbek, és egyre nehezebb azonosítani őket. Egyszer rákattintva egy adathalász e-mail számos lehetőséget ad az elkövetőnek arra, hogy szoftverek telepítésével hozzáférjen az Ön adataihoz. A spamszűrők segítenek, de az e-mailek “belső” vagy “külső” hálózatként való azonosítása is rendkívül értékes (ezt minden egyes tárgysorhoz csatolhatja, hogy az alkalmazottak tudják, honnan származnak az e-mailek).
- Jelszóbiztonság és hozzáférés-kezelés: A jelszavak trükkösek, mert összetettnek és egyedinek kell lenniük minden egyes fiókhoz. Az embereket egyszerűen nem arra tervezték, hogy több tíz vagy több száz jelszót megjegyezzenek, ezért hajlamosak azokat vagy újra felhasználni, vagy védtelen Word-dokumentumokban vagy jegyzettömbökben tárolni. Fektessen be egy üzleti jelszókezelőbe, szüntesse meg a jelszavak újrafelhasználását, növelje a jelszavak összetettségét, és tegye lehetővé a jelszavak biztonságos megosztását. Adminisztrátorként azt is kezelheti, hogy ki milyen jelszavakhoz férhet hozzá a szervezeten belül, így biztosíthatja, hogy az érzékeny fiókok csak a megfelelő munkatársak számára legyenek elérhetők. Ne feledkezzen meg a kétfaktoros hitelesítés használatáról a biztonság további fokozása érdekében.
- Hálózati felügyelet: Az elkövetők gyakran próbálnak hozzáférést szerezni a hálózatához. Megnézheti a hálózatfigyelő szoftvereket, amelyek segítenek figyelmeztetni Önt minden megkérdőjelezhető tevékenységre, ismeretlen hozzáférési kísérletre és egyebekre, hogy Ön mindig egy lépéssel a potenciálisan káros behatolók előtt járjon. Ezek a szoftverrendszerek, mint például a Darktrace, 24/7 védelmet nyújtanak, és mesterséges intelligenciát használnak a kiberbűncselekmények azonosítására, mielőtt azok bekövetkeznének, de jellemzően drágák.
- Adatmentés: Megdöbbentő, hogy a vállalatok milyen gyakran megfeledkeznek erről az egyszerű lépésről. Ha bármi történik az adataival, a vállalkozásának valószínűleg annyi. Folyamatosan készítsen biztonsági másolatot az adatairól, és gondoskodjon arról, hogy azok biztonságban és elkülönítve legyenek egy rosszindulatú szoftveres támadás vagy az elsődleges szervereit ért fizikai támadás esetén.
- Szoftverfrissítések: A hozzáférési pontok biztonsága szempontjából felbecsülhetetlenül fontos, hogy a hálózatán mindenki a legújabb szoftverrel rendelkezzen. A szoftverfrissítéseket manuálisan is kikényszerítheti, vagy egy olyan szoftverrel, mint a Duo, zárolhatja az érzékeny fiókokat azon alkalmazottak számára, akiknek a szoftvere nem naprakész.
A belső biztonsági audit elkészült
Gratulálunk, most már megvannak az eszközei az első belső biztonsági audit elvégzéséhez. Ne feledje, hogy az auditálás iteratív folyamat, és folyamatos felülvizsgálatot és fejlesztéseket tesz szükségessé a jövőbeni auditokhoz.
Az első biztonsági auditját minden jövőbeli auditálás alapjául kell használni – a sikerek és kudarcok idővel történő mérése az egyetlen módja a teljesítmény valódi értékelésének.
Azzal, hogy folyamatosan javítja módszereit és eljárásait, a következetes biztonsági felülvizsgálat légkörét teremti meg, és biztosítja, hogy mindig a legjobb helyzetben legyen, hogy megvédje vállalkozását bármilyen típusú biztonsági fenyegetéssel szemben.
Érdekli egy üzleti jelszókezelő, amely segít megszüntetni a jelszavak újrafelhasználását és védelmet nyújt az alkalmazottak hanyagsága ellen? Nézze meg a Dashlane Business-t, amelyben világszerte több mint 7000 vállalkozás bízik, és amelyet nagy és kis vállalkozások egyaránt dicsérnek a biztonsági viselkedés megváltoztatásának hatékonysága és a vállalati szintű elfogadást lehetővé tevő egyszerű kialakítása miatt.