企業經常將數據安全審計視為一個充滿壓力和侵入性的過程。審計人員四處走動,分散每個人的注意力,干預公司的正常運作。進行審計的有用性也是一個爭論:不定期的風險評估足以形成安全策略,并保證你的數據受到保護?如果你是關于私人數據安全性的合規性規定的主題,那么你將會遲早面臨正式的審計。為自己做一個IT安全審計,你準備好了嗎?
然而,在現實中,自我審計是非常有用的,因為他們實現了一組特定的目標。自我審核可以允許你:
·建立安全基準-多年來,多次自我審核的結果作為一個非常可靠的基準線來評估你的安全績效。
·幫助執行安全法規和做法-審核可以確保你的公司實施的所有網絡安全措施得到徹底執行和遵循。
·確定你的安全性的真實狀態,并制定未來的戰略-審計將會以比風險評估更為詳細的方式告訴你事情的真實情況。它不僅僅是突出缺少的東西,而且還考慮到現有的過程,并展示了為什么以及如何改進它們。
所有這一切,自我審核是一個非常有用的工具,當你需要評估網絡安全,或確保已準備好進行真正的合規審計。經常進行自我審核,這是一個很好的做法,在理想情況下每年多次。
但是如何進行網絡安全審計?
有各種各樣的方法來收集必要的數據,如訪問管理,用戶行為監控,以及員工跟蹤軟件,允許你生成集中的報告以進行徹底的安全評估。然而,如果說自我審計沒有其缺點是不公平的,以下將更進一步地討論這些問題。
但首先,先來看看進行自我審核的兩種方式的利弊:
(1)外部對內部審計
在決定進行自我審核時,你可以在內部使用自己的資源或與外部審計師簽訂合同。而兩者之間的選擇并不像人們想象的那么簡單。
外部審計師所做的事情很有意義。他們使用一套網絡安全審核軟件,例如漏洞掃描程序,并通過自己的豐富經驗以檢查你的系統安全性并找到漏洞。然而,他們的最大缺點就是他們成本高昂,而找到提供必要的資格和經驗的審計師是非常困難的。
此外,這種審計的成功將在很大程度上取決于你的公司與審計師之間建立的溝通質量。如果審計人員無法獲得正確的數據或推遲得到,則審計可能得到拖累,產生不可靠的結果或使成本膨脹。
所有這一切使外部審計成為一種奢侈品,而不是永久性的解決方案。他們每年都做得很好(如果你有時間和資金的話),或者是為了準備進行真正的合規性審計,但是每季度的成本都很高昂。
另一方面,內部審計是容易做到的,它們可以作為季度評估非常有效,幫助你收集數據以確保安全基準,并檢查當前的政策是否有效。然而,缺點是內部審計師往往缺乏匹配專業外部審計質量所需的經驗和工具。然而,這本身并不是通過簡單地雇用合適的人才,以及對他們進行培訓而無法解決的問題。
同時,內部審計不僅成本低廉,而且在進程方面也是有效的。內部員工或部門在沒有建立有效溝通的艱巨過程,并且在不打擾公司內部現有工作流程的情況下,收集所有必要的數據要容易得多。
雖然內部審計在理論上可能看起來很復雜,但在現實中,您需要做的只是完成一系列簡單的步驟,并獲得所需的可交付成果。接下來,我們將更詳細地討論這些步驟。
自我審核的4個簡單步驟
1.定義審核范圍
你首先需要做的是確定你的審核范圍。無論檢查組織的一般安全狀態還是進行特定的網絡安全審核,第三方安全審核或任何其他安全審核,你需要知道應該查看的內容,以及應該跳過的內容。
為了做到這一點,你需要劃定一個安全邊界,這是圍繞你所有寶貴資產的邊界。這個邊界應該盡可能的小,并且包括你擁有的并且需要保護的每一個有價值的資產。你將需要審核此邊界內的所有內容,并且不會觸及其外的任何內容。
定義安全邊界的最佳方法是創建你的公司所有寶貴資產的列表。這可能是相當棘手的,因為公司經常忽略像純粹的內部文件,詳細說明,例如各種公司政策和程序,因為它似乎對潛在的犯罪者沒有價值。然而,這些信息對于公司本身是有價值的,因為如果這些文件丟失或被破壞(例如,由于硬件故障或員工錯誤),則需要一些時間和金錢來重新創建它們。因此,它們也應包含在所有需要保護的資產的主要列表中。
2.定義數據所面臨的威脅
一旦你定義了安全邊界,你需要創建數據所面臨的威脅的列表。最困難的部分是在威脅偏離之間達到正確的平衡,如果發生這種威脅,它將對你的底線產生多大的影響。例如,如颶風等自然災害相對較少,但在財產方面卻是毀滅性的,它可能仍然包含在列表中。
所有這一切,你可能應該考慮的最常見的威脅包括:
·自然災害和物理破壞-如上所述,雖然這是很少發生的事情,但這種威脅的后果可能是毀滅性的,因此,你可能需要對其進行控制,以防萬一。
·惡意軟件和黑客攻擊-外部黑客攻擊是數據安全的最大威脅之一,應始終考慮。
·勒索軟件-這種惡意軟件在最近幾年得到普及。如果你在醫療保健,教育或財務部門和領域工作,則應該注意。
·拒絕服務攻擊-物聯網設備的興起,僵尸網絡大幅上升。拒絕服務攻擊現在比以往更廣泛和更危險。如果你的業務依賴于不間斷的網絡服務,那么你一定要考慮到這些。
·惡意的內部人員-這是一個威脅,并不是每個公司都能考慮到,而是每個公司面臨的風險。公司內部的員工和能夠訪問你的公司數據的第三方供應商都容易泄漏或濫用數據,你將無法檢測到。因此,最好做好準備并將其納入自己的威脅清單。但是之前,建議你查看威脅監控解決方案并進行比較。
·無意的內部人員-并非所有內部人員的攻擊均來自于惡意。員工粗心或無意的錯誤地泄露了你的數據,這是在人們連接世界中變得非常常見的事情。這肯定是要考慮的威脅。
·網絡釣魚和社交工程-通常黑客將嘗試通過以社會工程技術為你的員工定位網絡,實際上讓他們自愿放棄自己的憑證。這絕對是你應該對此作好準備好的事情。
3.計算風險
一旦建立了你的數據可能面臨的潛在威脅的列表,你需要評估每個威脅的風險。這樣的風險評估將有助于你在每個威脅上加上一個價格標簽,并在實施新的安全控制時正確確定優先級。為了做到這一點,你需要了解以下這些事情:
·你以前的經驗和經歷-無論你是否遇到特定的威脅,都可能會影響你將來遇到的可能性。如果你的公司是黑客攻擊或拒絕服務攻擊的目標,那么很有可能會再次發生。
·一般的網絡安全環境-了解目前網絡安全的趨勢。什么威脅越來越流行和頻繁?什么是新的和新興的威脅?哪些安全解決方案越來越流行?
·行業狀況-了解你的直接競爭的經驗以及行業所面臨的威脅。例如,如果你在醫療保健或教育行業或部門工作,你將更頻繁地面對內部攻擊,網絡釣魚攻擊和勒索,而零售行業可能更頻繁地面臨拒絕服務攻擊和其他惡意軟件。
4.設置必要的控制
一旦建立了與每個威脅相關的風險,你就可以完成最后一步,創建需要實施的控制的IT安全審核清單。檢查已有的控制措施,并設計改進方法,或執行缺少的流程。
你可能考慮的最常見的安全措施包括:
·物理服務器的安全性-如果你擁有自己的服務器,那么你應該確保對其進行物理訪問。當然,如果你只是從數據中心租用服務器空間,這不是問題。同時,你的公司使用的任何物聯網設備都應將所有默認密碼更改,并徹底保護物理訪問,以防止任何黑客進行嘗試。
·定期數據備份-數據備份在自然災害的情況下非常有效,或惡意軟件攻擊會將您從數據(ransomware勒索病毒)中破壞或鎖定。確保盡可能頻繁地完成你的所有備份數據,并建立一個適當的恢復數據的過程。
·防火墻和防病毒-這是網絡安全的最后防線,但是你需要使用正確配置的防火墻和具有防病毒軟件的計算機來保護網絡。
·反垃圾郵件過濾器-正確配置的反垃圾郵件過濾器可以成為打擊通過郵件發送的網絡釣魚攻擊和惡意軟件的一大好處。雖然你的員工可能知道不要點擊電子郵件中的任何鏈接,但人們需要更好的安全性,而不是抱歉。
·訪問控制-有幾種方法可以控制訪問,你最好把它們放在一起。首先,你需要確保你控制用戶擁有的權限級別,并且在創建新帳戶時使用最低權限的原則。除此之外,雙因素身份驗證是必須的,因為它大大增加了登錄過程的安全性,并允許你知道誰精確訪問你的數據,以及何時訪問。
·用戶操作監控-軟件可以錄制用戶在會話期間進行的所有操作,從而允許你在適當的內容中檢查每個事件。在檢測內部威脅方面,這不僅非常有效,而且也是調查任何漏洞和威脅的良好工具,也是對如何進行IT安全合規性審核的一個很好的答案,因為它允許你產生這種審計的必要數據。
·員工安全意識-為了保護員工不受網絡釣魚和社會工程攻擊,并減少無意中的錯誤頻率,并確保所有安全程序得以貫徹,最好是教育他們最佳的網絡安全。向員工介紹他們和你的公司面臨的威脅,以及為應對這些威脅而采取的措施。在網絡安全方面,提高員工的意識是將其從責任轉變為有用資產的好方法。
結論確定審計范圍,確定威脅,評估與每一個威脅相關的風險,以及評估現有的安全控制和制定新的控制措施和措施是上述4個簡單的步驟。人們需要做的是進行安全審計。
你的可交付成果應對你當前的安全狀態進行徹底的評估,以及如何改進事項的具體建議。這種自我審核的數據用于建立安全基準,以及制定你的公司的安全策略。
網絡安全是一個持續的過程,自我審核應該是保護你的數據的道路上的重大的里程碑。
京公網安備 11010502049343號