How to Conduct an Internal Security Audit in Five Simple, Inexpensive Steps

Przeprowadzenie wewnętrznego audytu bezpieczeństwa jest świetnym sposobem na wprowadzenie firmy na właściwą drogę w kierunku ochrony przed naruszeniem bezpieczeństwa danych i innymi kosztownymi zagrożeniami bezpieczeństwa. Wielu specjalistów IT i specjalistów ds. bezpieczeństwa myśli o audycie bezpieczeństwa jako o stresującym, kosztownym rozwiązaniu służącym do oceny zgodności ich organizacji z wymogami bezpieczeństwa (tak jest, przy czym koszty zewnętrznego audytu bezpieczeństwa oscylują w granicach 50 tys. dolarów). Jednak przeoczają oni fakt, że przy odpowiednim przeszkoleniu, zasobach i danych, wewnętrzny audyt bezpieczeństwa może okazać się skuteczny w ocenie bezpieczeństwa ich organizacji i może stworzyć krytyczne, możliwe do podjęcia działań spostrzeżenia w celu poprawy obrony firmy.

Istnieje pięć kroków, które należy podjąć, aby upewnić się, że wewnętrzny audyt bezpieczeństwa zapewni zwrot z inwestycji:

1. Zdefiniuj swój audyt
2. Zdefiniuj swoje zagrożenia
3. Ocena bieżącej wydajności zabezpieczeń
4. Priorytety (ocena ryzyka)
5. Sformułuj rozwiązania bezpieczeństwa

Zewnętrzny vs. Wewnętrzny audyt bezpieczeństwa

Zanim zagłębimy się w specyfikę każdego z etapów, ważne jest, aby zrozumieć różnicę pomiędzy zewnętrznym a wewnętrznym audytem bezpieczeństwa. Zewnętrzny audyt bezpieczeństwa ma ogromną wartość dla firm, ale jest zbyt kosztowny dla mniejszych przedsiębiorstw i nadal w dużym stopniu opiera się na współpracy i koordynacji wewnętrznych zespołów IT i bezpieczeństwa. Zespoły te muszą przede wszystkim znaleźć szanowanego i niedrogiego zewnętrznego partnera audytowego, ale są również zobowiązane do wyznaczenia celów/oczekiwań dla audytorów, dostarczenia wszystkich istotnych i dokładnych danych oraz wdrożenia zalecanych zmian.

Jest jednak powód, dla którego większe organizacje polegają na zewnętrznych audytach (i dlaczego instytucje finansowe są zobowiązane do posiadania zewnętrznych audytów zgodnie z Gramm-Leach-Bliley Act) na szczycie audytów i ocen dokonywanych przez wewnętrzne zespoły.

Zewnętrzne audyty są przeprowadzane przez doświadczonych profesjonalistów, którzy mają wszystkie odpowiednie narzędzia i oprogramowanie do przeprowadzenia dokładnego audytu – zakładając, że otrzymują wymagane dane i wskazówki. Ponieważ są one przeprowadzane przez osoby spoza firmy, zapewnia to również, że żadna jednostka biznesowa nie zostanie pominięta z powodu wewnętrznych uprzedzeń. Audytorzy mają tę przewagę, że rozumieją wszystkie protokoły bezpieczeństwa i są przeszkoleni do wykrywania wad zarówno w systemach fizycznych, jak i cyfrowych.

Mimo tych korzyści, wielu specjalistów IT i specjalistów ds. bezpieczeństwa decyduje się na wewnętrzne audyty bezpieczeństwa ze względu na ich szybkość, koszty, wydajność i spójność.

Dzięki wewnętrznemu audytowi bezpieczeństwa można ustalić poziom odniesienia, na podstawie którego można zmierzyć poprawę w przyszłych audytach. Ponieważ te wewnętrzne audyty są w zasadzie bezpłatne (minus poświęcenie czasu), można je przeprowadzać częściej. Dodatkowo, zbieranie i sortowanie istotnych danych jest uproszczone, ponieważ nie są one przekazywane stronom trzecim. Innym plusem jest to, że wewnętrzne audyty bezpieczeństwa powodują mniej zakłóceń w pracy pracowników.

Jeśli zdecydujesz się podjąć wewnętrzny audyt bezpieczeństwa, konieczne jest, aby kształcić się w wymaganiach zgodności niezbędnych do utrzymania protokołów bezpieczeństwa. Po zapoznaniu się z nimi, będziesz miał zrozumienie, gdzie powinieneś szukać – a to oznacza, że jesteś gotowy do rozpoczęcia wewnętrznego audytu bezpieczeństwa.

Oto pięć prostych, niedrogich kroków, które możesz podjąć, aby przeprowadzić wewnętrzny audyt bezpieczeństwa:

Zdefiniuj swój audyt

Twoim pierwszym zadaniem jako audytora jest zdefiniowanie zakresu audytu – oznacza to, że musisz spisać listę wszystkich swoich aktywów. Aktywa obejmują oczywiste rzeczy, takie jak sprzęt komputerowy i wrażliwe dane firmy i klientów, ale także rzeczy, bez których firma potrzebowałaby czasu lub pieniędzy, aby je naprawić, takie jak ważna dokumentacja wewnętrzna.

Gdy masz już długą listę aktywów, musisz określić swój obwód bezpieczeństwa.

Obwód bezpieczeństwa dzieli twoje aktywa na dwa wiadra: rzeczy, które będziesz audytować i rzeczy, których nie będziesz audytować. Nierozsądne jest oczekiwanie, że możesz skontrolować wszystko. Wybierz swoje najcenniejsze aktywa, zbuduj wokół nich obwód bezpieczeństwa i skup 100% swojej uwagi na tych aktywach.

Zdefiniuj swoje zagrożenia

Następnie, weź swoją listę cennych aktywów i zapisz odpowiednią listę potencjalnych zagrożeń dla tych aktywów.

To może obejmować od słabych haseł pracowników chroniących wrażliwe dane firmy lub klientów, do ataków DDoS (Denial of Service), a nawet może obejmować fizyczne naruszenia lub szkody spowodowane przez klęskę żywiołową. Zasadniczo, każde potencjalne zagrożenie powinno być brane pod uwagę, tak długo, jak zagrożenie może legalnie kosztować firmy znaczną ilość pieniędzy.

Oto lista wspólnych zagrożeń, o których powinieneś pomyśleć podczas tego kroku:

• Zaniedbani pracownicy: Twoi pracownicy są pierwszą linią obrony – jak dobrze są przeszkoleni, aby zauważyć podejrzane działania (np. phishing) i przestrzegać protokołów bezpieczeństwa określonych przez Twój zespół? Czy używają oni ponownie osobistych haseł do ochrony wrażliwych kont firmowych?
• Ataki phishingowe: Sprawcy naruszeń coraz częściej uciekają się do oszustw phishingowych, aby uzyskać dostęp do poufnych informacji. Ponad 75% ataków phishingowych jest motywowanych finansowo.
• Niewłaściwe stosowanie haseł: Wykorzystywane w 81% przypadków naruszeń związanych z włamaniami, słabe lub skradzione hasła są metodą nr 1 stosowaną przez sprawców.
• Złośliwe osoby niepowołane: Ważne jest, aby wziąć pod uwagę, że możliwe jest, iż w obrębie Twojej firmy lub osoby, która ma dostęp do Twoich danych poprzez połączenie ze stroną trzecią, znajduje się ktoś, kto ukradnie lub niewłaściwie wykorzysta poufne informacje.

• Ataki DDos: Atak DDoS (distributed denial-of-service) ma miejsce, gdy wiele systemów zalewa system docelowy (zazwyczaj serwer WWW) i przeciąża go, czyniąc go bezużytecznym.
• BYOD (Bring Your Own Device): Czy Twoja organizacja zezwala na BYOD? Jeśli tak, powierzchnia ataku dla sprawców jest większa i słabsza. Każde urządzenie, które ma dostęp do systemów, musi być brane pod uwagę, nawet jeśli nie jest własnością firmy.
• Złośliwe oprogramowanie: Obejmuje wiele różnych zagrożeń, takich jak robaki, konie trojańskie, oprogramowanie szpiegujące, a także coraz bardziej popularne zagrożenie: oprogramowanie ransomware.
• Naruszenie fizyczne lub klęska żywiołowa: Choć mało prawdopodobne, konsekwencje jednej lub obu tych rzeczy mogą być niezwykle kosztowne. Jak bardzo podatna jest Twoja organizacja?

Assess Current Security Performance

Teraz, gdy masz już listę zagrożeń, musisz być szczery w kwestii zdolności Twojej firmy do obrony przed nimi. W tym momencie oceniasz wydajność istniejących struktur bezpieczeństwa, co oznacza, że zasadniczo oceniasz wydajność swoją, swojego zespołu lub działu.

Jest to jeden z obszarów, w którym audyt zewnętrzny może zapewnić dodatkową wartość, ponieważ zapewnia, że żadne wewnętrzne uprzedzenia nie wpływają na wynik audytu.

Jest to krytyczne dla zasadności i skuteczności wewnętrznego audytu bezpieczeństwa, aby spróbować zablokować wszelkie emocje lub uprzedzenia, które masz do oceny i oceny swojej dotychczasowej wydajności i wydajności działu w ogóle.

Może twój zespół jest szczególnie dobry w monitorowaniu sieci i wykrywaniu zagrożeń, ale czy twoi pracownicy są na bieżąco z najnowszymi metodami używanymi przez hakerów, aby uzyskać dostęp do systemów? Jako pierwsza linia obrony, być może powinieneś ważyć zagrożenia skierowane przeciwko pracownikom bardziej niż zagrożenia związane z wykrywaniem sieci. Oczywiście, działa to w obie strony, w zależności od mocnych i słabych stron Twojego zespołu w odniesieniu do zagrożeń, z którymi się spotykasz.

Uwzględnienie zdolności Twojej organizacji do dobrej obrony przed określonymi zagrożeniami lub utrzymania cennych aktywów w dobrej ochronie jest nieocenione podczas kolejnego kroku: ustalania priorytetów.

Priorytetyzacja (Risk Scoring)

To może być najważniejsza praca, jaką masz jako audytor. Jak ustalić priorytety?

Weź swoją listę zagrożeń i zważ potencjalne szkody wystąpienia zagrożenia w stosunku do szans, że faktycznie może ono wystąpić (w ten sposób przypisując każdemu z nich ocenę ryzyka). Na przykład, katastrofa naturalna może zniszczyć firmę (wysoki wynik ryzyka), ale jeśli zasoby firmy znajdują się w miejscu, które nigdy nie zostało dotknięte katastrofą naturalną, wynik ryzyka powinien zostać odpowiednio obniżony.

Nie zapomnij uwzględnić wyników bieżącej oceny wydajności zabezpieczeń (krok #3) przy przyznawaniu punktów odpowiednim zagrożeniom.

Podczas oceny zagrożeń ważne jest, aby zrobić krok wstecz i przyjrzeć się dodatkowym czynnikom:

• Historia organizacji: Czy Twoja firma doświadczyła cyberataku lub naruszenia w przeszłości?
• Aktualne trendy w zakresie cyberbezpieczeństwa: Jakie metody są obecnie wybierane przez sprawców? Jakie zagrożenia zyskują na popularności, a jakie stają się coraz rzadsze? Jakie nowe rozwiązania są dostępne w celu obrony przed niektórymi zagrożeniami?
• Trendy branżowe: Powiedzmy, że pracujesz w branży finansowej, jak to wpływa nie tylko na Twoje dane, ale także na prawdopodobieństwo naruszenia? Jakie rodzaje naruszeń są bardziej powszechne w Twojej branży?
• Regulacje i zgodność z przepisami: Czy jesteś firmą publiczną czy prywatną? Jakiego rodzaju danymi się zajmujesz? Czy Twoja organizacja przechowuje i/lub przekazuje wrażliwe informacje finansowe lub osobiste? Kto ma dostęp do jakich systemów? Odpowiedzi na te pytania będą miały wpływ na ocenę ryzyka przypisywaną określonym zagrożeniom i wartość przypisywaną określonym aktywom.

Formulate Security Solutions

Ostatni krok wewnętrznego audytu bezpieczeństwa jest prosty – należy sporządzić listę zagrożeń i zapisać odpowiednią listę ulepszeń bezpieczeństwa lub najlepszych praktyk w celu ich zanegowania lub wyeliminowania. Ta lista jest teraz Twoją osobistą listą rzeczy do zrobienia na nadchodzące tygodnie i miesiące.

Oto lista wspólnych rozwiązań bezpieczeństwa, o których warto pomyśleć podczas tego kroku:

• Edukacja pracowników Świadomość: 50% kadry kierowniczej twierdzi, że nie posiada programu szkoleniowego w zakresie świadomości bezpieczeństwa pracowników. Jest to nie do przyjęcia. Pracownicy są najsłabszym ogniwem w bezpieczeństwie Twojej sieci – stwórz szkolenia dla nowych pracowników i aktualizacje dla już zatrudnionych, aby stworzyć świadomość wokół najlepszych praktyk bezpieczeństwa, takich jak wykrywanie wiadomości phishingowych.
• Ochrona poczty elektronicznej: Ataki phishingowe są coraz bardziej popularne w dzisiejszych czasach i są one coraz trudniejsze do zidentyfikowania. Po kliknięciu, e-mail phishingowy daje sprawcy szereg opcji, aby uzyskać dostęp do danych użytkownika poprzez instalację oprogramowania. Filtry antyspamowe są pomocne, ale identyfikacja wiadomości jako „wewnętrznych” lub „zewnętrznych” dla Twojej sieci jest również bardzo cenna (możesz dodać to do każdego tematu, aby pracownicy wiedzieli skąd pochodzą wiadomości).
• Bezpieczeństwo haseł i zarządzanie dostępem: Hasła są trudne, ponieważ muszą być złożone i unikalne dla każdego konta. Ludzie po prostu nie są przystosowani do zapamiętywania dziesiątek lub setek haseł, a zatem mają tendencję do ponownego ich używania lub przechowywania w niezabezpieczonych dokumentach Worda lub notatnikach. Zainwestuj w biznesowego menedżera haseł, wyeliminuj wielokrotne używanie haseł, zwiększ ich złożoność i włącz bezpieczne udostępnianie haseł. Jako administrator możesz również zarządzać tym, kto ma dostęp do jakich haseł w całej organizacji, aby mieć pewność, że wrażliwe konta są dostępne tylko dla odpowiednich osób. Nie zapomnij użyć dwuskładnikowego uwierzytelniania dla dodatkowej warstwy bezpieczeństwa.
• Monitorowanie sieci: Sprawcy często próbują uzyskać dostęp do Twojej sieci. Możesz spojrzeć na oprogramowanie do monitorowania sieci, aby pomóc ostrzec Cię o wszelkich wątpliwych działań, nieznanych prób dostępu, i więcej, aby pomóc zachować krok przed każdym potencjalnie szkodliwych intruzów. Te systemy oprogramowania, takie jak Darktrace, oferują ochronę 24/7 i wykorzystują sztuczną inteligencję, aby pomóc w identyfikacji cyberprzestępstw, zanim one wystąpią, ale zazwyczaj są drogie.
• Kopia zapasowa danych: To oszałamiające, jak często firmy zapominają o tym prostym kroku. Jeśli cokolwiek stanie się z danymi, Twoja firma jest prawdopodobnie toast. Wykonuj kopie zapasowe danych konsekwentnie i upewnij się, że są one bezpieczne i oddzielne w przypadku ataku złośliwego oprogramowania lub fizycznego ataku na główne serwery.
• Aktualizacje oprogramowania: Utrzymanie wszystkich w sieci na najnowszym oprogramowaniu jest nieocenione w kierunku zabezpieczenia punktów dostępowych. Możesz egzekwować aktualizacje oprogramowania ręcznie, lub użyć oprogramowania takiego jak Duo, aby zablokować wrażliwe konta pracownikom, których oprogramowanie nie jest aktualne.

Twój wewnętrzny audyt bezpieczeństwa jest zakończony

Gratulacje, masz teraz narzędzia, aby zakończyć swój pierwszy wewnętrzny audyt bezpieczeństwa. Należy pamiętać, że audyt jest procesem iteracyjnym i wymaga ciągłego przeglądu i ulepszeń dla przyszłych audytów.

Twój pierwszy audyt bezpieczeństwa powinien być używany jako punkt odniesienia dla wszystkich przyszłych audytów – pomiar sukcesów i porażek w czasie jest jedynym sposobem na prawdziwą ocenę wydajności.

Poprzez ciągłe doskonalenie metod i procesów stworzysz atmosferę konsekwentnego przeglądu bezpieczeństwa i zapewnisz sobie najlepszą pozycję do ochrony firmy przed każdym rodzajem zagrożenia bezpieczeństwa.

Zainteresowany biznesowym menedżerem haseł, który pomoże Ci wyeliminować ponowne użycie hasła i ochroni przed zaniedbaniami pracowników? Sprawdź Dashlane Business, któremu zaufało ponad 7000 firm na całym świecie i który jest chwalony przez duże i małe przedsiębiorstwa za skuteczność w zmienianiu zachowań związanych z bezpieczeństwem oraz prostotę konstrukcji, która umożliwia przyjęcie się w całej firmie.