Den interna säkerhetsrevisionen är ett utmärkt sätt att få ditt företag på rätt spår för att skydda sig mot dataintrång och andra kostsamma säkerhetshot. Många IT- och säkerhetsexperter anser att en säkerhetsrevision är en stressig och dyr lösning för att bedöma organisationens säkerhetsöverensstämmelse (det är det också, med externa kostnader för säkerhetsrevisioner som ligger runt 50 000 dollar). Men de förbiser det faktum att med rätt utbildning, resurser och data kan en intern säkerhetsrevision visa sig vara effektiv när det gäller att bedöma organisationens säkerhet och skapa kritiska, användbara insikter för att förbättra företagets försvar.
Det finns fem steg du måste ta för att se till att din interna säkerhetsrevision ger avkastning på din investering:
- Definiera din revision
- Definiera dina hot
- Bedöm nuvarande säkerhetsprestanda
- Prioritera (Risk Scoring)
- Formulera säkerhetslösningar
Externa vs. Intern säkerhetsrevision
Innan vi går in på detaljerna i varje steg är det viktigt att förstå skillnaden mellan en extern och intern säkerhetsrevision. En extern säkerhetsrevision har ett otroligt värde för företag, men den är oöverkomligt dyr för mindre företag och är fortfarande starkt beroende av samarbete och samordning av interna IT- och säkerhetsteam. Dessa team måste först och främst hitta en respekterad och prisvärd extern revisionspartner, men de måste också sätta upp mål/förväntningar för revisorerna, tillhandahålla alla relevanta och korrekta uppgifter och genomföra rekommenderade ändringar.
Det finns ändå en anledning till att större organisationer förlitar sig på externa revisioner (och att finansinstitut måste ha externa revisioner enligt Gramm-Leach-Bliley Act) utöver de revisioner och bedömningar som görs av interna team.
Externa revisioner utförs av erfarna yrkesverksamma som har alla lämpliga verktyg och programvaror för att genomföra en grundlig revision – under förutsättning att de får de uppgifter och anvisningar som krävs. Eftersom de utförs av personer utanför verksamheten säkerställer det också att ingen affärsenhet förbises på grund av interna fördomar. Revisorerna har fördelen att de förstår alla säkerhetsprotokoll och är utbildade för att upptäcka brister i både fysiska och digitala system.
Trots fördelarna väljer många IT- och säkerhetsexperter interna säkerhetsrevisioner på grund av deras snabbhet, kostnad, effektivitet och konsekvens.
Med en intern säkerhetsrevision kan du fastställa en baslinje från vilken du kan mäta förbättringar för framtida revisioner. Eftersom dessa interna revisioner i princip är gratis (minus tidsåtgången) kan de göras oftare. Dessutom förenklas insamling och sortering av relevanta uppgifter eftersom de inte distribueras till en tredje part. En annan trevlig fördel är att interna säkerhetsrevisioner orsakar mindre störningar i de anställdas arbetsflöde.
Om du väljer att genomföra en intern säkerhetsrevision är det viktigt att du utbildar dig i de krav på efterlevnad som krävs för att upprätthålla säkerhetsprotokoll. När du väl är bekant har du en förståelse för var du ska leta – och det betyder att du är redo att påbörja din interna säkerhetsrevision.
Här är de fem enkla och billiga stegen du kan ta för att genomföra en intern säkerhetsrevision:
Definiera din revision
Din första uppgift som revisor är att definiera omfattningen av din revision – det innebär att du måste skriva ner en lista över alla dina tillgångar. Tillgångarna omfattar uppenbara saker som datorutrustning och känsliga företags- och kunduppgifter, men även saker utan vilka företaget skulle behöva tid eller pengar för att åtgärda dem, t.ex. viktig intern dokumentation.
När du har en lång lista över tillgångar måste du definiera din säkerhetsomkrets.
En säkerhetsomkrets delar in dina tillgångar i två hinkar: saker som du kommer att granska och saker som du inte kommer att granska. Det är orimligt att förvänta sig att du kan granska allt. Välj dina mest värdefulla tillgångar, bygg en säkerhetsperimeter runt dem och lägg 100 % av ditt fokus på dessa tillgångar.
Detektera dina hot
Nästan, ta din lista över värdefulla tillgångar och skriv ner en motsvarande lista över potentiella hot mot dessa tillgångar.
Det kan handla om allt från dåliga lösenord för anställda som skyddar känsliga företags- eller kunduppgifter, till DDoS-attacker (Denial of Service), och kan till och med inkludera fysiska intrång eller skador som orsakats av en naturkatastrof. I princip bör alla potentiella hot beaktas, så länge hotet legitimt kan kosta ditt företag en betydande summa pengar.
Här är en lista över vanliga hot som du bör tänka på under detta steg:
- Oaktsamma anställda: Dina anställda är din första försvarslinje – hur väl utbildade är de för att uppmärksamma misstänkt aktivitet (t.ex. nätfiske) och för att följa de säkerhetsprotokoll som ditt team har fastställt? Återanvänder de personliga lösenord för att skydda känsliga företagskonton?
- Phishing-attacker: Förövarna av intrång använder sig allt oftare av phishing-bedrägerier för att få tillgång till känslig information. Över 75 % av nätfiskeattackerna är ekonomiskt motiverade.
- Dåligt beteende när det gäller lösenord: Svaga eller stulna lösenord är den främsta metoden som används av förövarna i 81 % av de hackningsrelaterade intrångsförsöken.
- Skadliga insiders: Det är viktigt att ta hänsyn till att det är möjligt att det finns någon inom ditt företag, eller som har tillgång till dina data via en anslutning till en tredje part, som skulle stjäla eller missbruka känslig information.
- DDos-attacker: En DDoS-attack (distributed denial-of-service) är vad som händer när flera system översvämmar ett målsystem (vanligtvis en webbserver) och överbelastar det, vilket gör det oanvändbart.
- BYOD (Bring Your Own Device): Tillåter din organisation BYOD? Om så är fallet är angreppsytan för förövare större och svagare. Alla enheter som har tillgång till dina system måste redovisas, även om de inte ägs av ditt företag.
- Malware: Detta omfattar ett antal olika hot, t.ex. maskar, trojanska hästar, spionprogram och ett alltmer populärt hot: utpressningstrojaner.
- Fysiska överträdelser eller naturkatastrofer: Även om det är osannolikt kan konsekvenserna av en eller båda dessa saker bli otroligt dyra. Hur mottaglig är din organisation?
Bedöm nuvarande säkerhetsprestanda
När du nu har din lista över hot måste du vara uppriktig om ditt företags förmåga att försvara sig mot dem. Vid den här tidpunkten utvärderar du prestandan hos de befintliga säkerhetsstrukturerna, vilket innebär att du i huvudsak utvärderar prestandan hos dig själv, ditt team eller din avdelning.
Det här är ett område där en extern revision kan ge ett extra värde, eftersom den säkerställer att inga interna fördomar påverkar resultatet av revisionen.
Det är avgörande för legitimiteten och effektiviteten av din interna säkerhetsrevision att försöka blockera alla känslor eller fördomar som du har när det gäller att utvärdera och bedöma dina prestationer hittills och din avdelnings prestationer i stort.
Möjligen är ditt team särskilt duktigt på att övervaka nätverket och upptäcka hot, men är dina anställda uppdaterade på de senaste metoderna som används av hackare för att få tillgång till dina system? Som första försvarslinje bör du kanske väga hot mot anställda tyngre än hot relaterade till nätverksdetektering. Naturligtvis fungerar detta åt båda hållen beroende på ditt teams styrkor och svagheter i förhållande till de hot du möter.
Att ta hänsyn till din organisations förmåga att antingen försvara sig väl mot vissa hot eller att hålla värdefulla tillgångar väl skyddade är ovärderligt under nästa steg: prioritering.
Prioritera (Risk Scoring)
Detta kan vara det viktigaste jobbet du har som revisor. Hur prioriterar du?
Ta din lista över hot och väga den potentiella skadan av att ett hot inträffar mot chansen att det faktiskt kan inträffa (och tilldela på så sätt en riskpoäng till varje hot). En naturkatastrof kan till exempel utplåna ett företag (hög riskpoäng), men om dina tillgångar finns på en plats som aldrig har drabbats av en naturkatastrof bör riskpoängen sänkas i enlighet med detta.
Glöm inte bort att inkludera resultaten av den aktuella bedömningen av säkerhetsprestanda (steg 3) när du poängsätter relevanta hot.
Under din hotbedömning är det viktigt att ta ett steg tillbaka och titta på ytterligare faktorer:
- Din organisations historia: Har ditt företag upplevt en cyberattack eller ett intrång tidigare?
- Aktuella cybersäkerhetstrender: Vad är den aktuella metoden för förövare? Vilka hot ökar i popularitet och vilka hot blir mindre vanliga? Vilka nya lösningar finns tillgängliga för att försvara sig mot vissa hot?
- Trender på branschnivå: Säg att du arbetar inom finansbranschen, hur påverkar det inte bara dina uppgifter utan även sannolikheten för ett intrång? Vilka typer av överträdelser är vanligare i din bransch?
- Reglering och efterlevnad: Är du ett offentligt eller privat företag? Vilken typ av uppgifter hanterar ni? Lagrar och/eller överför din organisation känslig finansiell eller personlig information? Vem har tillgång till vilka system?Svaren på dessa frågor kommer att få konsekvenser för den riskpoäng du tilldelar vissa hot och det värde du lägger på vissa tillgångar.
Formulera säkerhetslösningar
Slutsteget i den interna säkerhetsrevisionen är enkelt – ta din prioriterade lista över hot och skriv ner en motsvarande lista över säkerhetsförbättringar eller bästa praxis för att förneka eller eliminera dem. Denna lista är nu din personliga att-göra-lista för de kommande veckorna och månaderna.
Här är en lista över vanliga säkerhetslösningar som du kan tänka på under detta steg:
- Medarbetarutbildning Medvetenhet: 50 % av cheferna säger att de inte har något utbildningsprogram för medarbetarnas säkerhetsmedvetenhet. Det är oacceptabelt. Anställda är den svagaste länken i din nätverkssäkerhet – skapa utbildning för nya anställda och uppdateringar för befintliga anställda för att skapa medvetenhet om bästa säkerhetsrutiner, t.ex. om hur man upptäcker ett phishing-e-postmeddelande.
- E-postskydd: Phishing-attacker blir allt populärare nuförtiden, och de blir allt svårare att identifiera. När man klickar på ett phishing-e-postmeddelande ger en förövare ett antal alternativ för att få tillgång till dina data via programvaruinstallation. Spamfilter hjälper, men det är också mycket värdefullt att identifiera e-postmeddelanden som ”interna” eller ”externa” till ditt nätverk (du kan bifoga detta till varje ämnesrad så att de anställda vet varifrån e-postmeddelandena kommer).
- Lösenordssäkerhet och åtkomsthantering: Lösenord är knepiga eftersom de måste vara komplexa och unika för varje konto. Människor är helt enkelt inte kapabla att komma ihåg tiotals eller hundratals lösenord och tenderar därför att antingen återanvända dem eller lagra dem i oskyddade Word-dokument eller anteckningsblock. Investera i en lösenordshanterare för företag, eliminera återanvändning av lösenord, öka lösenordskomplexiteten och möjliggöra säker delning av lösenord. Som administratör kan du också hantera vem som har tillgång till vilka lösenord i hela organisationen, för att se till att känsliga konton endast är tillgängliga för lämplig personal. Glöm inte att använda tvåfaktorsautentisering för ytterligare ett säkerhetslager.
- Nätverksövervakning: Förövare försöker ofta få tillgång till ditt nätverk. Du kan titta på programvaror för nätverksövervakning som hjälper dig att varna dig för tvivelaktig aktivitet, okända åtkomstförsök med mera, för att hålla dig ett steg före potentiellt skadliga inkräktare. Dessa programvarusystem, som Darktrace, erbjuder skydd dygnet runt och använder artificiell intelligens för att hjälpa till att identifiera cyberbrott innan de inträffar, men är vanligtvis på den dyra sidan.
- Säkerhetskopiering av data: Det är häpnadsväckande hur ofta företag glömmer detta enkla steg. Om något händer med dina data är ditt företag troligen kört i botten. Säkerhetskopiera dina data konsekvent och se till att de är säkra och separerade i händelse av en attack med skadlig programvara eller en fysisk attack mot dina primära servrar.
- Programuppdateringar: Att hålla alla i nätverket på den senaste programvaran är ovärderligt för att säkra dina åtkomstpunkter. Du kan tvinga fram programvaruuppdateringar manuellt, eller så kan du använda en programvara som Duo för att hålla dina känsliga konton låsta för anställda vars programvara inte är uppdaterad.
Din interna säkerhetsgranskning är klar
Gratulerar, du har nu verktygen för att genomföra din första interna säkerhetsgranskning. Tänk på att revision är en iterativ process som kräver fortsatt granskning och förbättringar inför framtida revisioner.
Din första säkerhetsrevision bör användas som baslinje för alla framtida revisioner – att mäta dina framgångar och misslyckanden över tid är det enda sättet att verkligen bedöma prestationen.
Om du fortsätter att förbättra dina metoder och processer skapar du en atmosfär av konsekvent säkerhetsgranskning och ser till att du alltid är i det bästa läget för att skydda ditt företag mot alla typer av säkerhetshot.
Intresserad av en lösenordshanterare för företag som kan hjälpa dig att eliminera återanvändning av lösenord och skydda dig mot anställdas försumlighet? Kolla in Dashlane Business, som är betrodd av över 7 000 företag över hela världen och som hyllas av stora och små företag för sin effektivitet när det gäller att ändra säkerhetsbeteende och sin enkla design som gör det möjligt att använda den i hela företaget.