Condurre un audit di sicurezza interno è un ottimo modo per mettere la vostra azienda sulla strada giusta verso la protezione da una violazione dei dati e altre costose minacce alla sicurezza. Molti professionisti IT e della sicurezza pensano a un audit di sicurezza come a una soluzione stressante e costosa per valutare la conformità della sicurezza della loro organizzazione (lo è, con costi di audit di sicurezza esterni che si aggirano intorno ai 50 mila dollari). Ma stanno trascurando il fatto che con la giusta formazione, le risorse e i dati, un audit di sicurezza interno può rivelarsi efficace nel segnare la sicurezza della loro organizzazione, e può creare intuizioni critiche e perseguibili per migliorare le difese aziendali.
Ci sono cinque passi da fare per assicurarsi che l’audit di sicurezza interna fornisca un ritorno sull’investimento:
- Definire l’audit
- Definire le minacce
- Valutare le attuali prestazioni di sicurezza
- Prioritizzare (Risk Scoring)
- Formulare soluzioni di sicurezza
Esterno vs. Audit di sicurezza interno
Prima di addentrarci nelle specifiche di ogni passo, è importante capire la differenza tra un audit di sicurezza esterno e interno. Un audit di sicurezza esterno ha un valore incredibile per le aziende, ma è proibitivo per le piccole imprese e si basa ancora molto sulla cooperazione e il coordinamento dei team interni di IT e sicurezza. Questi team devono innanzitutto trovare un partner di audit esterno rispettato e conveniente, ma sono anche tenuti a fissare obiettivi/aspettative per gli auditor, fornire tutti i dati rilevanti e accurati e implementare i cambiamenti raccomandati.
C’è comunque una ragione per cui le grandi organizzazioni si affidano a revisioni esterne (e perché le istituzioni finanziarie sono tenute ad avere revisioni esterne secondo il Gramm-Leach-Bliley Act) oltre alle revisioni e valutazioni fatte dai team interni. Poiché sono condotti da persone esterne all’azienda, assicurano anche che nessuna unità aziendale sia trascurata a causa di pregiudizi interni. I revisori hanno il vantaggio di comprendere tutti i protocolli di sicurezza e sono addestrati a individuare le falle nei sistemi fisici e digitali.
Nonostante i vantaggi, molti professionisti IT e della sicurezza optano per gli audit di sicurezza interni a causa della loro velocità, costo, efficienza e coerenza.
Con un audit di sicurezza interno, è possibile stabilire una linea di base da cui è possibile misurare il miglioramento per gli audit futuri. Poiché questi audit interni sono essenzialmente gratuiti (meno l’impegno di tempo), possono essere fatti più frequentemente. Inoltre, la raccolta e l’ordinamento dei dati rilevanti è semplificato perché non vengono distribuiti a terzi. Un altro bel vantaggio è che gli audit di sicurezza interni causano meno interruzioni al flusso di lavoro dei dipendenti.
Se si sceglie di intraprendere un audit di sicurezza interno, è imperativo che ci si istruisca sui requisiti di conformità necessari per sostenere i protocolli di sicurezza. Una volta acquisita familiarità, avrete una comprensione di dove dovreste cercare – e questo significa che siete pronti per iniziare il vostro audit di sicurezza interna.
Ecco i cinque semplici e poco costosi passi che puoi fare per condurre un audit di sicurezza interna:
Definire il tuo audit
Il tuo primo lavoro come auditor è definire lo scopo del tuo audit – questo significa che devi scrivere una lista di tutte le tue risorse. Le risorse includono cose ovvie come l’attrezzatura informatica e i dati sensibili dell’azienda e dei clienti, ma anche cose senza le quali l’azienda richiederebbe tempo o denaro per essere riparata, come l’importante documentazione interna.
Una volta che avete una lunga lista di risorse, dovete definire il vostro perimetro di sicurezza.
Un perimetro di sicurezza segmenta le vostre risorse in due gruppi: cose che controllerete e cose che non controllerete. È irragionevole aspettarsi di poter controllare tutto. Scegliete le vostre risorse più preziose, costruite un perimetro di sicurezza intorno ad esse e concentratevi al 100% su di esse.
Definire le vostre minacce
Poi, prendete la vostra lista di risorse preziose e scrivete una lista corrispondente di potenziali minacce a tali risorse.
Queste possono andare da password scadenti dei dipendenti che proteggono dati sensibili dell’azienda o dei clienti, ad attacchi DDoS (Denial of Service), e possono anche includere violazioni fisiche o danni causati da un disastro naturale. Essenzialmente, ogni potenziale minaccia dovrebbe essere considerata, fino a quando la minaccia può legittimamente costare alla vostra azienda una quantità significativa di denaro.
Ecco una lista di minacce comuni a cui dovreste pensare durante questa fase:
- Dipendenti negligenti: I tuoi dipendenti sono la tua prima linea di difesa – quanto sono addestrati a notare attività sospette (es. phishing) e a seguire i protocolli di sicurezza stabiliti dal tuo team? Stanno riutilizzando le password personali per proteggere gli account aziendali sensibili?
- Attacchi di phishing: Gli autori di violazioni si rivolgono sempre più spesso a truffe di phishing per ottenere l’accesso a informazioni sensibili. Oltre il 75% degli attacchi di phishing sono motivati finanziariamente.
- Comportamento povero di password: Sfruttato nell’81% delle violazioni legate all’hacking, le password deboli o rubate sono il metodo n. 1 utilizzato dai perpetratori.
- Malicious Insiders: È importante prendere in considerazione che è possibile che ci sia qualcuno all’interno della tua azienda, o che ha accesso ai tuoi dati attraverso una connessione con una terza parte, che ruberebbe o userebbe male le informazioni sensibili.
- Attacchi DDos: Un attacco DDoS (distributed denial-of-service) è ciò che accade quando più sistemi inondano un sistema mirato (tipicamente un server web) e lo sovraccaricano, rendendolo così inutile.
- BYOD (Bring Your Own Device): La vostra organizzazione permette il BYOD? Se è così, la superficie di attacco per i perpetratori è più grande, e più debole. Qualsiasi dispositivo che ha accesso ai tuoi sistemi deve essere tenuto in considerazione, anche se non è di proprietà della tua azienda.
- Malware: Questo comprende una serie di minacce diverse, come worm, cavalli di Troia, spyware, e include una minaccia sempre più popolare: ransomware.
- Violazione fisica o disastro naturale: Anche se improbabile, le conseguenze di una o entrambe queste cose possono essere incredibilmente costose. Quanto è suscettibile la vostra organizzazione?
Valutate le attuali prestazioni di sicurezza
Ora che avete la vostra lista di minacce, dovete essere sinceri sulla capacità della vostra azienda di difendersi da esse. A questo punto, state valutando le prestazioni delle strutture di sicurezza esistenti, il che significa che state essenzialmente valutando le prestazioni di voi stessi, del vostro team o del vostro dipartimento.
Questa è un’area in cui un audit esterno può fornire ulteriore valore, perché assicura che nessun pregiudizio interno stia influenzando il risultato dell’audit.
È fondamentale per la legittimità e l’efficacia del vostro audit di sicurezza interno cercare di bloccare qualsiasi emozione o pregiudizio che avete verso la valutazione e l’accertamento delle vostre prestazioni fino ad oggi, e le prestazioni del vostro dipartimento in generale.
Forse il vostro team è particolarmente bravo a monitorare la rete e a rilevare le minacce, ma i vostri dipendenti sono aggiornati sugli ultimi metodi utilizzati dagli hacker per accedere ai vostri sistemi? Come prima linea di difesa, forse dovreste pesare di più le minacce contro i dipendenti che quelle legate al rilevamento della rete. Naturalmente, questo funziona in entrambi i sensi, a seconda dei punti di forza e di debolezza del vostro team in relazione alle minacce che dovete affrontare.
Fare i conti con la capacità della vostra organizzazione di difendersi bene da certe minacce o di mantenere ben protetti i beni preziosi è inestimabile durante il passo successivo: la definizione delle priorità.
Prioritize (Risk Scoring)
Questo potrebbe essere il lavoro più importante che hai come auditor. Come si assegnano le priorità?
Prendete la vostra lista di minacce e soppesate il danno potenziale del verificarsi di una minaccia rispetto alle probabilità che possa effettivamente verificarsi (assegnando così un punteggio di rischio a ciascuna). Per esempio, un disastro naturale può distruggere un’azienda (punteggio di rischio elevato), ma se le vostre risorse si trovano in un luogo che non è mai stato colpito da una catastrofe naturale, il punteggio di rischio dovrebbe essere abbassato di conseguenza.
Non dimenticate di includere i risultati dell’attuale valutazione delle prestazioni di sicurezza (passo #3) quando assegnate un punteggio alle minacce rilevanti.
Durante la valutazione delle minacce, è importante fare un passo indietro e guardare a fattori aggiuntivi:
- Storia della vostra organizzazione: La tua azienda ha subito un attacco informatico o una violazione in passato?
- Attuali tendenze della sicurezza informatica: Qual è l’attuale metodo di scelta dei perpetratori? Quali minacce stanno crescendo in popolarità e quali stanno diventando meno frequenti? Quali nuove soluzioni sono disponibili per difendersi da certe minacce?
- Tendenze a livello di settore: Diciamo che lavori nell’industria finanziaria, come influisce non solo sui tuoi dati, ma sulla probabilità di una violazione? Quali tipi di violazioni sono più frequenti nel vostro settore?
- Regolamentazione e conformità: Siete un’azienda pubblica o privata? Che tipo di dati gestite? La tua organizzazione conserva e/o trasmette informazioni finanziarie o personali sensibili? Chi ha accesso a quali sistemi? Le risposte a queste domande avranno implicazioni sul punteggio di rischio che stai assegnando a certe minacce e sul valore che stai dando a particolari risorse.
Formulare soluzioni di sicurezza
Il passo finale del tuo audit di sicurezza interna è semplice: prendi la tua lista di priorità delle minacce e scrivi una lista corrispondente di miglioramenti alla sicurezza o best practice per negarle o eliminarle. Questa lista è ora la vostra personale lista di cose da fare per le prossime settimane e mesi.
Ecco una lista di soluzioni di sicurezza comuni a cui pensare durante questa fase:
- Consapevolezza dell’educazione dei dipendenti: il 50% dei dirigenti dice di non avere un programma di formazione sulla sicurezza dei dipendenti. Questo è inaccettabile. I dipendenti sono l’anello più debole della vostra sicurezza di rete – create la formazione per i nuovi dipendenti e gli aggiornamenti per quelli esistenti per creare la consapevolezza delle migliori pratiche di sicurezza, come ad esempio come individuare una e-mail di phishing.
- Protezione e-mail: Gli attacchi di phishing sono sempre più popolari al giorno d’oggi, e stanno diventando sempre più difficili da identificare. Una volta cliccata, un’email di phishing offre al malintenzionato una serie di opzioni per accedere ai tuoi dati attraverso l’installazione di software. I filtri antispam aiutano, ma l’identificazione delle e-mail come “interne” o “esterne” alla vostra rete è anche molto importante (potete aggiungere questo a ogni riga dell’oggetto in modo che i dipendenti sappiano da dove provengono le e-mail).
- Sicurezza delle password e gestione degli accessi: Le password sono complicate, perché devono essere complesse e uniche per ogni account. Gli esseri umani semplicemente non sono cablati per ricordare decine o centinaia di password, e quindi tendono a riutilizzarle o a memorizzarle in documenti Word non protetti o quaderni. Investire in un gestore di password aziendali, eliminare il riutilizzo delle password, aumentare la complessità delle password e abilitare la condivisione sicura delle password. Come amministratore, puoi anche gestire chi ha accesso a quali password in tutta l’organizzazione, per garantire che gli account sensibili siano disponibili solo al personale appropriato. Non dimenticare di utilizzare l’autenticazione a due fattori per un ulteriore livello di sicurezza.
- Monitoraggio della rete: I criminali spesso cercano di ottenere l’accesso alla tua rete. Si può guardare in software di monitoraggio della rete per aiutare ad avvisare di qualsiasi attività discutibile, tentativi di accesso sconosciuto, e altro ancora, per aiutare a mantenere un passo avanti di qualsiasi intruso potenzialmente dannoso. Questi sistemi software, come Darktrace, offrono protezione 24/7 e utilizzano l’intelligenza artificiale per aiutare a identificare i crimini informatici prima che si verifichino, ma sono tipicamente sul lato costoso.
- Backup dei dati: È sorprendente quanto spesso le aziende dimentichino questo semplice passo. Se succede qualcosa ai tuoi dati, il tuo business è probabilmente fritto. Esegui il backup dei tuoi dati in modo coerente e assicurati che siano sicuri e separati in caso di un attacco malware o un attacco fisico ai tuoi server primari.
- Aggiornamenti software: Mantenere tutti i membri della tua rete con l’ultimo software è inestimabile per la sicurezza dei tuoi punti di accesso. È possibile applicare gli aggiornamenti del software manualmente, o è possibile utilizzare un software come Duo per mantenere gli account sensibili bloccati ai dipendenti il cui software non è aggiornato.
Il tuo audit di sicurezza interna è completo
Congratulazioni, ora hai gli strumenti per completare il tuo primo audit di sicurezza interna. Tieni presente che l’auditing è un processo iterativo e richiede una revisione continua e miglioramenti per gli audit futuri.
Il tuo primo audit di sicurezza dovrebbe essere usato come base per tutti gli audit futuri – misurare i tuoi successi e fallimenti nel tempo è l’unico modo per valutare veramente le prestazioni.
Continuando a migliorare i tuoi metodi e processi, creerai un’atmosfera di revisione costante della sicurezza e ti assicurerai di essere sempre nella posizione migliore per proteggere la tua azienda da qualsiasi tipo di minaccia alla sicurezza.
Interessato a un password manager aziendale che ti aiuti a eliminare il riutilizzo delle password e a proteggere dalla negligenza dei dipendenti? Dai un’occhiata a Dashlane Business, di cui si fidano oltre 7.000 aziende in tutto il mondo, e lodato da aziende grandi e piccole per la sua efficacia nel cambiare il comportamento in materia di sicurezza e la semplicità del design che consente l’adozione in tutta l’azienda.
Interessante