Het uitvoeren van een interne beveiligingsaudit is een geweldige manier om uw bedrijf op het juiste spoor te zetten naar bescherming tegen een datalek en andere kostbare beveiligingsrisico’s. Veel IT- en beveiligingsprofessionals zien een beveiligingsaudit als een stressvolle, dure oplossing voor het beoordelen van de beveiligingsnaleving van hun organisatie (dat is het ook, met externe beveiligingsaudits die rond de $ 50.000 kosten). Maar ze zien over het hoofd dat met de juiste opleiding, middelen en gegevens, een interne beveiligingsaudit effectief kan blijken te zijn in het scoren van de beveiliging van hun organisatie, en kritieke, bruikbare inzichten kan creëren om de verdediging van het bedrijf te verbeteren.
Er zijn vijf stappen die u moet nemen om ervoor te zorgen dat uw interne beveiligingsaudit rendement oplevert:
- Definieer uw audit
- Definieer uw bedreigingen
- Beoordeel de huidige beveiligingsprestaties
- Prioriteer (risicoscore)
- Stippel beveiligingsoplossingen uit
Extern vs. intern beveiligingsonderzoek
Extern vs. Interne beveiligingsaudit
Voordat we dieper ingaan op de specifieke kenmerken van elke stap, is het belangrijk om het verschil tussen een externe en interne beveiligingsaudit te begrijpen. Een externe beveiligingsaudit is van onschatbare waarde voor bedrijven, maar is onbetaalbaar voor kleinere bedrijven en is nog steeds sterk afhankelijk van de samenwerking en coördinatie van interne IT- en beveiligingsteams. Die teams moeten eerst en vooral een gerespecteerde en betaalbare externe auditpartner vinden, maar ze zijn ook verplicht om doelen / verwachtingen voor auditors te stellen, alle relevante en nauwkeurige gegevens te verstrekken en aanbevolen wijzigingen door te voeren.
Toch is er een reden waarom grotere organisaties vertrouwen op externe audits (en waarom financiële instellingen verplicht zijn om externe audits te laten uitvoeren volgens de Gramm-Leach-Bliley Act) bovenop de audits en beoordelingen die door interne teams worden gedaan.
Externe audits worden uitgevoerd door doorgewinterde professionals die beschikken over alle geschikte hulpmiddelen en software om een grondige audit uit te voeren – ervan uitgaande dat ze de vereiste gegevens en aanwijzingen ontvangen. Omdat ze worden uitgevoerd door mensen van buiten het bedrijf, wordt ook gegarandeerd dat geen enkele bedrijfseenheid over het hoofd wordt gezien door interne vooroordelen. Auditors hebben het voordeel dat ze alle beveiligingsprotocollen begrijpen en zijn getraind om gebreken in zowel fysieke als digitale systemen op te sporen.
Ondanks de voordelen kiezen veel IT- en beveiligingsprofessionals voor interne beveiligingsaudits vanwege de snelheid, kosten, efficiëntie en consistentie.
Met een interne beveiligingsaudit kunt u een basislijn vaststellen van waaruit u verbetering kunt meten voor toekomstige audits. Aangezien deze interne audits in wezen gratis zijn (minus de tijd die ermee gemoeid is), kunnen ze vaker worden uitgevoerd. Bovendien wordt het verzamelen en sorteren van relevante gegevens eenvoudiger omdat deze niet aan derden worden verstrekt. Een ander leuk voordeel is dat interne beveiligingsaudits de workflow van werknemers minder verstoren.
Als u ervoor kiest om een interne beveiligingsaudit uit te voeren, is het noodzakelijk dat u zichzelf onderwijst in de compliance-vereisten die nodig zijn om beveiligingsprotocollen te handhaven. Eenmaal vertrouwd, zult u begrijpen waar u naar moet kijken – en dat betekent dat u klaar bent om uw interne beveiligingsaudit te beginnen.
Hier volgen vijf eenvoudige, goedkope stappen die u kunt nemen om een interne beveiligingsaudit uit te voeren:
Definieer uw audit
Uw eerste taak als auditor is het definiëren van de reikwijdte van uw audit – dat betekent dat u een lijst moet opstellen van al uw bedrijfsmiddelen. Tot de bedrijfsmiddelen behoren voor de hand liggende zaken als computerapparatuur en gevoelige bedrijfs- en klantgegevens, maar ook zaken zonder welke het bedrijf tijd of geld nodig zou hebben om ze te herstellen, zoals belangrijke interne documentatie.
Als u eenmaal een uitgebreide lijst met bedrijfsmiddelen hebt, moet u uw beveiligingsperimeter definiëren.
Een beveiligingsperimeter verdeelt uw bedrijfsmiddelen in twee categorieën: zaken die u zult controleren en zaken die u niet zult controleren. Het is onredelijk te verwachten dat u alles kunt controleren. Kies uw meest waardevolle bedrijfsmiddelen, bouw daar een beveiligingsperimeter omheen en richt 100% van uw aandacht op die bedrijfsmiddelen.
Define Your Threats
Next, neem uw lijst met waardevolle bedrijfsmiddelen en schrijf een corresponderende lijst met potentiële bedreigingen voor die bedrijfsmiddelen op.
Dit kan variëren van slechte wachtwoorden voor werknemers die gevoelige bedrijfs- of klantgegevens beschermen, tot DDoS-aanvallen (Denial of Service), en kan zelfs fysieke inbreuken of schade door een natuurramp omvatten. In wezen moet elke potentiële bedreiging worden overwogen, zolang de bedreiging uw bedrijven op legitieme wijze een aanzienlijk bedrag kan kosten.
Hier volgt een lijst met veel voorkomende bedreigingen waaraan u tijdens deze stap moet denken:
- Onachtzame werknemers: Uw medewerkers zijn uw eerste verdedigingslinie – hoe goed zijn ze opgeleid om verdachte activiteiten (bijv. phishing) op te merken en beveiligingsprotocollen te volgen die door uw team zijn opgesteld? Gebruiken ze persoonlijke wachtwoorden om gevoelige bedrijfsaccounts te beschermen?
- Phishing-aanvallen: Daders van inbreuken maken steeds vaker gebruik van phishing-zwendel om toegang te krijgen tot gevoelige informatie. Meer dan 75% van de phishing-aanvallen zijn financieel gemotiveerd.
- Slecht wachtwoordgedrag: In 81% van de gevallen van hacking-gerelateerde inbreuken zijn zwakke of gestolen wachtwoorden de methode nummer 1 die door de daders wordt gebruikt.
- Kwaadwillende insiders: Het is belangrijk om er rekening mee te houden dat het mogelijk is dat er iemand binnen uw bedrijf is, of die toegang heeft tot uw gegevens via een verbinding met een derde partij, die gevoelige informatie zou stelen of misbruiken.
- DDos-aanvallen: Een gedistribueerde denial-of-service-aanval (DDoS-aanval) is wat er gebeurt wanneer meerdere systemen een doelsysteem (meestal een webserver) overspoelen en overbelasten, waardoor het onbruikbaar wordt.
- BYOD (Bring Your Own Device): Staat uw organisatie BYOD toe? Zo ja, dan is het aanvalsoppervlak voor daders groter en zwakker. Elk apparaat dat toegang heeft tot uw systemen moet worden verantwoord, zelfs als het geen eigendom is van uw bedrijf.
- Malware: Dit omvat een aantal verschillende bedreigingen, zoals wormen, Trojaanse paarden, spyware, en omvat een steeds populairder wordende bedreiging: ransomware.
- Fysieke inbreuk of natuurramp: Hoewel onwaarschijnlijk, kunnen de gevolgen van een van deze of beide zaken ongelooflijk duur zijn. Hoe gevoelig is uw organisatie?
Beoordeling huidige beveiligingsprestaties
Nu u een lijst met bedreigingen hebt, moet u openhartig zijn over het vermogen van uw bedrijf om zich ertegen te verdedigen. Op dit punt evalueert u de prestaties van de bestaande beveiligingsstructuren, wat in wezen betekent dat u de prestaties van uzelf, uw team of uw afdeling evalueert.
Dit is een gebied waarop een externe audit extra waarde kan bieden, omdat deze garandeert dat er geen interne vooroordelen van invloed zijn op de uitkomst van de audit.
Het is van cruciaal belang voor de legitimiteit en doeltreffendheid van uw interne beveiligingsaudit om te proberen elke emotie of vooringenomenheid uit te schakelen die u hebt bij het evalueren en beoordelen van uw prestaties tot nu toe, en de prestaties van uw afdeling in het algemeen.
Misschien is uw team bijzonder goed in het bewaken van uw netwerk en het detecteren van bedreigingen, maar zijn uw medewerkers op de hoogte van de nieuwste methoden die hackers gebruiken om toegang tot uw systemen te krijgen? Als eerste verdedigingslinie moet u misschien bedreigingen tegen werknemers zwaarder laten wegen dan bedreigingen met betrekking tot netwerkdetectie. Natuurlijk werkt dit in beide richtingen, afhankelijk van de sterke en zwakke punten van uw team met betrekking tot de bedreigingen waarmee u wordt geconfronteerd.
Het meewegen van het vermogen van uw organisatie om zich goed te verdedigen tegen bepaalde bedreigingen of waardevolle activa goed beschermd te houden, is van onschatbare waarde tijdens de volgende stap: prioritering.
Prioriteren (risicoscore)
Dit is misschien wel de belangrijkste taak die u als auditor hebt. Hoe stelt u prioriteiten?
Neem uw lijst met bedreigingen en weeg de potentiële schade van een bedreiging af tegen de kans dat deze zich daadwerkelijk voordoet (door aan elke bedreiging een risicoscore toe te kennen). Een natuurramp kan bijvoorbeeld een bedrijf wegvagen (hoge risicoscore), maar als uw bedrijfsmiddelen zich bevinden op een plek waar nog nooit een natuurramp heeft plaatsgevonden, moet de risicoscore dienovereenkomstig worden verlaagd.
Vergeet niet de resultaten van de huidige beoordeling van de beveiligingsprestaties (stap 3) mee te nemen bij het scoren van relevante bedreigingen.
Tijdens uw beoordeling van bedreigingen is het belangrijk om een stap terug te doen en te kijken naar aanvullende factoren:
- Geschiedenis van uw organisatie: Heeft uw bedrijf in het verleden te maken gehad met een cyberaanval of -inbreuk?
- Huidige trends op het gebied van cyberbeveiliging: Wat is de huidige methode van keuze voor daders? Welke bedreigingen nemen in populariteit toe, en welke worden minder frequent? Welke nieuwe oplossingen zijn beschikbaar om zich tegen bepaalde bedreigingen te verdedigen?
- Trends op bedrijfstakniveau: Stel dat u in de financiële sector werkt, hoe beïnvloedt dat niet alleen uw gegevens, maar ook de kans op een inbreuk? Welke soorten inbreuken komen in uw branche vaker voor?
- Regelgeving en compliance: Bent u een openbaar of particulier bedrijf? Wat voor soort gegevens verwerkt u? Bewaart en/of verstuurt uw organisatie gevoelige financiële of persoonlijke informatie? Wie heeft toegang tot welke systemen? De antwoorden op deze vragen hebben gevolgen voor de risicoscore die u aan bepaalde bedreigingen toekent en de waarde die u aan bepaalde bedrijfsmiddelen toekent.
Formuleren van beveiligingsoplossingen
De laatste stap van uw interne beveiligingsaudit is eenvoudig: neem uw geprioriteerde lijst met bedreigingen en schrijf een corresponderende lijst met beveiligingsverbeteringen of beste praktijken op om deze te ontkrachten of te elimineren. Deze lijst is nu uw persoonlijke to-do-lijst voor de komende weken en maanden.
Hier volgt een lijst met veelvoorkomende beveiligingsoplossingen waar u tijdens deze stap aan kunt denken:
- Bewustwording van werknemers: 50% van de leidinggevenden zegt dat ze geen trainingsprogramma voor beveiligingsbewustzijn van werknemers hebben. Dat is onaanvaardbaar. Medewerkers zijn de zwakste schakel in uw netwerkbeveiliging – zorg voor training voor nieuwe medewerkers en updates voor bestaande medewerkers om bewustzijn te creëren rond best practices op het gebied van beveiliging, zoals het herkennen van een phishing-e-mail.
- E-mailbescherming: Phishing-aanvallen worden tegenwoordig steeds populairder, en ze worden steeds moeilijker te herkennen. Eenmaal aangeklikt, geeft een phishing-e-mail een dader een aantal opties om via software-installatie toegang te krijgen tot uw gegevens. Spamfilters helpen, maar het identificeren van e-mails als “intern” of “extern” voor uw netwerk is ook zeer waardevol (u kunt dat aan elke onderwerpregel toevoegen, zodat werknemers weten waar e-mails vandaan komen).
- Wachtwoordbeveiliging en toegangsbeheer: Wachtwoorden zijn lastig, want ze moeten complex zijn en uniek voor elke account. Mensen zijn gewoon niet in staat om tientallen of honderden wachtwoorden te onthouden, en hebben dus de neiging om ze te hergebruiken of ze op te slaan in onbeschermde Word-docs of notitieblokjes. Investeer in een zakelijke wachtwoordmanager, voorkom hergebruik van wachtwoorden, vergroot de complexiteit van wachtwoorden en maak het veilig delen van wachtwoorden mogelijk. Als beheerder kunt u ook beheren wie toegang heeft tot welke wachtwoorden in de hele organisatie, om ervoor te zorgen dat gevoelige accounts alleen beschikbaar zijn voor het juiste personeel. Vergeet niet om twee-factor authenticatie te gebruiken voor een extra beveiligingslaag.
- Netwerkbewaking: Daders proberen vaak toegang te krijgen tot uw netwerk. U kunt kijken naar netwerkbewakingssoftware om u te helpen waarschuwen voor twijfelachtige activiteiten, onbekende toegangspogingen en meer, om u een stap voor te zijn op mogelijk schadelijke indringers. Deze softwaresystemen, zoals Darktrace, bieden 24/7 bescherming en maken gebruik van kunstmatige intelligentie om te helpen cybermisdrijven te identificeren voordat ze plaatsvinden, maar zijn meestal aan de dure kant.
- Back-up van gegevens: Het is verbluffend hoe vaak bedrijven deze eenvoudige stap vergeten. Als er iets met uw gegevens gebeurt, is uw bedrijf waarschijnlijk naar de knoppen. Maak consequent back-ups van uw gegevens en zorg ervoor dat deze veilig en gescheiden zijn in het geval van een malware-aanval of een fysieke aanval op uw primaire servers.
- Software-updates: Het houden van iedereen op uw netwerk op de nieuwste software is van onschatbare waarde voor het beveiligen van uw toegangspunten. U kunt software-updates handmatig afdwingen, of u kunt software zoals Duo gebruiken om uw gevoelige accounts te vergrendelen voor medewerkers van wie de software niet up-to-date is.
Uw interne beveiligingsaudit is voltooid
Gefeliciteerd, u hebt nu de tools om uw eerste interne beveiligingsaudit uit te voeren. Bedenk dat auditing een iteratief proces is, dat voortdurend moet worden herzien en verbeterd voor toekomstige audits.
Uw eerste beveiligingsaudit moet worden gebruikt als basis voor alle toekomstige audits – het meten van uw succes en mislukkingen in de loop van de tijd is de enige manier om de prestaties echt te beoordelen.
Door uw methoden en processen te blijven verbeteren, creëert u een sfeer van consistente veiligheidsbeoordeling en zorgt u ervoor dat u altijd in de beste positie bent om uw bedrijf te beschermen tegen elk type veiligheidsbedreiging.
Benieuwd naar een zakelijke wachtwoordmanager om u te helpen hergebruik van wachtwoorden uit te bannen en u te beschermen tegen nalatigheid van werknemers? Kijk dan eens naar Dashlane Business, vertrouwd door meer dan 7.000 bedrijven wereldwijd, en geprezen door grote en kleine bedrijven voor zijn effectiviteit in het veranderen van beveiligingsgedrag en eenvoud van ontwerp dat bedrijfsbrede adoptie mogelijk maakt.