A realização de uma auditoria interna de segurança é uma ótima maneira de colocar sua empresa no caminho certo para se proteger contra uma violação de dados e outras ameaças de segurança dispendiosas. Muitos profissionais de TI e segurança pensam em uma auditoria de segurança como uma solução estressante e cara para avaliar a conformidade de segurança de sua organização (isto é, com os custos da auditoria externa de segurança pairando na faixa de $50k). Mas eles estão ignorando o fato de que, com o treinamento, recursos e dados corretos, uma auditoria interna de segurança pode ser eficaz na pontuação da segurança de sua organização e pode criar percepções críticas e acionáveis para melhorar as defesas da empresa.
Existem cinco passos que você precisa tomar para garantir que sua auditoria interna de segurança proporcionará retorno sobre seu investimento:
- Definir sua auditoria
- Definir suas ameaças
- Avaliar o desempenho atual da segurança
- Priorizar (Risk Scoring)
- Formular soluções de segurança
Externo vs. Auditoria de Segurança Interna
>
>
Antes de mergulharmos nas especificidades de cada etapa, é importante entender a diferença entre uma auditoria de segurança externa e interna. Uma auditoria externa de segurança tem um valor incrível para as empresas, mas é proibitivamente cara para as empresas menores e ainda depende muito da cooperação e coordenação das equipes internas de TI e segurança. Essas equipes devem, acima de tudo, encontrar um parceiro de auditoria externa respeitado e acessível, mas também devem estabelecer metas/expectativas para os auditores, fornecer todos os dados relevantes e precisos e implementar as mudanças recomendadas.
Até agora, há uma razão pela qual organizações maiores confiam em auditorias externas (e porque as instituições financeiras são obrigadas a ter auditorias externas conforme a Lei Gramm-Leach-Bliley) além das auditorias e avaliações feitas pelas equipes internas.
As auditorias externas são realizadas por profissionais experientes que possuem todas as ferramentas e softwares apropriados para conduzir uma auditoria completa – assumindo que eles recebam os dados e a direção necessários. Como são conduzidas por pessoas externas ao negócio, também garante que nenhuma unidade de negócio seja negligenciada devido a preconceitos internos. Os auditores têm a vantagem de compreender todos os protocolos de segurança e são treinados para detectar falhas em sistemas físicos e digitais.
Apesar dos benefícios, muitos profissionais de TI e segurança optam por auditorias internas de segurança devido à sua velocidade, custo, eficiência e consistência.
Com uma auditoria interna de segurança, você pode estabelecer uma linha de base a partir da qual você pode medir a melhoria para auditorias futuras. Como essas auditorias internas são essencialmente gratuitas (menos o compromisso de tempo), elas podem ser feitas com mais freqüência. Além disso, a recolha e classificação de dados relevantes é simplificada porque não está a ser distribuída a terceiros. Outra boa vantagem é que as auditorias internas de segurança causam menos interrupção no fluxo de trabalho dos funcionários.
Se você optar por realizar uma auditoria interna de segurança, é imperativo que você se informe sobre os requisitos de conformidade necessários para manter os protocolos de segurança. Uma vez familiarizado, você terá uma compreensão de onde você deve estar procurando – e isso significa que você está pronto para começar sua auditoria de segurança interna.
Aqui estão os cinco passos simples e baratos que você pode dar para realizar uma auditoria de segurança interna:
Definir Sua Auditoria
Seu primeiro trabalho como auditor é definir o escopo de sua auditoria – isso significa que você precisa escrever uma lista de todos os seus bens. Os activos incluem coisas óbvias como equipamento informático e dados sensíveis da empresa e dos clientes, mas também inclui coisas sem as quais o negócio exigiria tempo ou dinheiro para corrigir como documentação interna importante.
Após ter uma longa lista de activos, precisa de definir o seu perímetro de segurança.
Um perímetro de segurança segmenta os seus activos em dois baldes: coisas que vai auditar e coisas que não vai auditar. Não é razoável esperar que você possa auditar tudo. Escolha seus ativos mais valiosos, construa um perímetro de segurança em torno deles e coloque 100% do seu foco nesses ativos.
Definir suas ameaças
Próximo, pegue sua lista de ativos valiosos e escreva uma lista correspondente de ameaças potenciais a esses ativos.
Isso pode variar desde senhas de funcionários pobres que protegem dados sensíveis da empresa ou do cliente até ataques DDoS (Negação de serviço), e pode até incluir violações físicas ou danos causados por um desastre natural. Essencialmente, qualquer ameaça potencial deve ser considerada, desde que a ameaça possa legitimamente custar à sua empresa uma quantia significativa de dinheiro.
Aqui está uma lista de ameaças comuns que você deve pensar durante esta etapa:
- Empregados Negligentes: Seus funcionários são sua primeira linha de defesa – quão bem treinados eles estão para perceber atividades suspeitas (ex. phishing) e para seguir os protocolos de segurança estabelecidos por sua equipe? Eles estão reutilizando senhas pessoais para proteger as contas sensíveis da empresa?
- Phishing Attacks: Os infractores estão a recorrer cada vez mais a esquemas de phishing para obterem acesso a informações sensíveis. Mais de 75% dos ataques de phishing são motivados financeiramente.
- Comportamento deficiente da senha: Alavancado em 81% das violações relacionadas com hacking, senhas fracas ou roubadas são o método #1 usado pelos perpetradores.
- Insiders maliciosos: É importante levar em conta que é possível que haja alguém dentro do seu negócio, ou que tenha acesso aos seus dados através de uma conexão com um terceiro, que roubaria ou usaria indevidamente informações sensíveis.
- Ataques DDos: Um ataque distribuído de negação de serviço (DDoS) é o que acontece quando vários sistemas inundam um sistema alvo (tipicamente um servidor web) e o sobrecarregam, tornando-o inútil.
- BYOD (Bring Your Own Device): A sua organização permite o BYOD? Se sim, a superfície de ataque para os perpetradores é maior, e mais fraca. Qualquer dispositivo que tenha acesso aos seus sistemas precisa ser contabilizado, mesmo que não seja de propriedade da sua empresa.
- Malware: Isto explica uma série de ameaças diferentes, como worms, cavalos de Tróia, spyware, e inclui uma ameaça cada vez mais popular: ransomware.
- Brecha Física ou Desastre Natural: Embora improvável, as consequências de uma ou ambas estas coisas podem ser incrivelmente caras. Quão susceptível é a sua organização?
Avalie o Desempenho Atual da Segurança
Agora que você tenha a sua lista de ameaças, você precisa ser franco sobre a capacidade da sua empresa de se defender contra elas. Neste ponto, você está avaliando o desempenho das estruturas de segurança existentes, o que significa que você está essencialmente avaliando o desempenho de si mesmo, da sua equipe ou do seu departamento.
Esta é uma área onde uma auditoria externa pode fornecer valor adicional, pois garante que nenhum viés interno está afetando o resultado da auditoria.
É fundamental para a legitimidade e eficácia da sua auditoria interna de segurança tentar bloquear qualquer emoção ou preconceito que você tenha em relação à avaliação e ao desempenho do seu departamento em geral.
Talvez sua equipe seja particularmente boa em monitorar sua rede e detectar ameaças, mas seus funcionários estão atualizados sobre os métodos mais recentes usados pelos hackers para obter acesso aos seus sistemas? Como primeira linha de defesa, talvez você deva pesar mais as ameaças contra os funcionários do que as ameaças relacionadas à detecção de rede. É claro que isso funciona das duas maneiras, dependendo dos pontos fortes e fracos de sua equipe no que diz respeito às ameaças que você enfrenta.
Fator na capacidade da sua organização de se defender bem contra certas ameaças ou manter ativos valiosos bem protegidos é inestimável durante a próxima etapa: priorização.
Prioritizar (Risk Scoring)
Esse pode ser o trabalho mais importante que você tem como auditor. Como você prioriza?
Primeira a sua lista de ameaças e pesa os danos potenciais de uma ocorrência de ameaça versus as chances de que ela realmente possa ocorrer (atribuindo assim uma pontuação de risco a cada uma delas). Por exemplo, um desastre natural pode obliterar um negócio (pontuação de risco alta), mas se os seus ativos existem em um lugar que nunca foi atingido por uma catástrofe natural, a pontuação de risco deve ser reduzida de acordo.
Não se esqueça de incluir os resultados da avaliação de desempenho de segurança atual (etapa #3) ao pontuar as ameaças relevantes.
Durante a sua avaliação de ameaças, é importante dar um passo atrás e olhar para fatores adicionais:
- História da sua organização: A sua empresa já sofreu um ataque cibernético ou violação no passado?
- Tendências atuais de segurança cibernética: Qual é o método de escolha atual para os perpetradores? Que ameaças estão a crescer em popularidade, e quais estão a tornar-se menos frequentes? Que novas soluções estão disponíveis para se defender contra determinadas ameaças?
- Tendências de nível industrial: Digamos que você trabalha no setor financeiro, como isso afeta não apenas os seus dados, mas a probabilidade de uma violação? Que tipos de violações são mais prevalentes no seu setor?
- Regulamentação e conformidade: Você é uma empresa pública ou privada? Que tipo de dados você trata? A sua organização armazena e/ou transmite informações financeiras ou pessoais sensíveis? Quem tem acesso a que sistemas? As respostas a essas perguntas terão implicações na pontuação de risco que você está atribuindo a determinadas ameaças e no valor que está atribuindo a determinados ativos.
Formular Soluções de Segurança
A etapa final de sua auditoria interna de segurança é simples – pegue sua lista priorizada de ameaças e escreva uma lista correspondente de melhorias de segurança ou melhores práticas para negá-las ou eliminá-las. Esta lista é agora a sua lista de tarefas pessoais para as próximas semanas e meses.
Aqui está uma lista de soluções de segurança comuns para você pensar durante esta etapa:
- Conscientização dos funcionários: 50% dos executivos dizem que não têm um programa de treinamento de conscientização de segurança dos funcionários. Isso é inaceitável. Os funcionários são o elo mais fraco em sua segurança de rede – crie treinamento para novos funcionários e atualizações para os já existentes para criar conscientização em torno das melhores práticas de segurança, como identificar um e-mail de phishing.
- Proteção de e-mail: Os ataques de phishing são cada vez mais populares hoje em dia, e estão se tornando cada vez mais difíceis de identificar. Uma vez clicado, um e-mail de phishing dá ao perpetrador uma série de opções para obter acesso aos seus dados através da instalação de software. Os filtros de spam ajudam, mas identificar e-mails como “internos” ou “externos” à sua rede também é muito valioso (você pode anexar isso a cada linha de assunto para que os funcionários saibam de onde os e-mails são originados).
- Segurança de senha e Gerenciamento de Acesso: As senhas são complicadas, pois precisam ser complexas e exclusivas para cada conta. Os humanos simplesmente não estão conectados para lembrar dezenas ou centenas de senhas, e assim tendem a reutilizá-las ou armazená-las em documentos Word ou blocos de notas desprotegidos. Invista em um gerenciador de senhas de negócios, elimine a reutilização de senhas, melhore a complexidade das senhas e permita o compartilhamento seguro de senhas. Como administrador, você também pode gerenciar quem tem acesso a quais senhas em toda a organização, para garantir que contas sensíveis estejam disponíveis apenas para o pessoal apropriado. Não se esqueça de usar autenticação de dois fatores para uma camada adicional de segurança.
- Monitoramento de Rede: Perpetradores estão muitas vezes tentando obter acesso à sua rede. Você pode olhar para o software de monitoramento de rede para ajudar a alertá-lo sobre qualquer atividade questionável, tentativas de acesso desconhecidas, e mais, para ajudar a mantê-lo um passo à frente de qualquer intruso potencialmente prejudicial. Esses sistemas de software, como o Darktrace, oferecem proteção 24 horas por dia, 7 dias por semana e usam inteligência artificial para ajudar a identificar crimes cibernéticos antes que eles ocorram, mas normalmente estão no lado caro.
- Backup de dados: É impressionante a frequência com que as empresas esquecem este simples passo. Se alguma coisa acontecer aos seus dados, é provável que o seu negócio esteja torrado. Faça backup dos seus dados de forma consistente e garanta que eles estejam seguros e separados no caso de um ataque de malware ou um ataque físico aos seus servidores primários.
- Atualizações de Software: Manter todos na sua rede com o software mais recente é inestimável para proteger os seus pontos de acesso. Você pode impor atualizações de software manualmente, ou pode usar um software como o Duo para manter suas contas confidenciais bloqueadas para funcionários cujo software não esteja atualizado.
Sua auditoria interna de segurança está completa
Congratulações, agora você tem as ferramentas para completar sua primeira auditoria interna de segurança. Tenha em mente que a auditoria é um processo iterativo e requer uma revisão contínua e melhorias para auditorias futuras.
A sua primeira auditoria de segurança deve ser usada como base para todas as auditorias futuras – medir o seu sucesso e falhas ao longo do tempo é a única maneira de avaliar verdadeiramente o desempenho.
Ao continuar melhorando seus métodos e processos, você criará uma atmosfera de revisão de segurança consistente e garantirá que você está sempre na melhor posição para proteger seu negócio contra qualquer tipo de ameaça de segurança.
Interessado em um gerente de senhas de negócios para ajudá-lo a eliminar a reutilização de senhas e proteger contra a negligência do funcionário? Verifique Dashlane Business, confiável por mais de 7.000 empresas em todo o mundo, e elogiado pelas empresas grandes e pequenas por sua eficácia na mudança de comportamento de segurança e simplicidade de design que permite a adoção em toda a empresa.
>