企业经常将数据安全审计视为一个充满压力和侵入性的过程。审计人员四处走动,分散每个人的注意力,干预公司的正常运作。进行审计的有用性也是一个争论:不定期的风险评估足以形成安全策略,并保证你的数据受到保护?如果你是关于私人数据安全性的合规性规定的主题,那么你将会迟早面临正式的审计。为自己做一个IT安全审计,你准备好了吗?
然而,在现实中,自我审计是非常有用的,因为他们实现了一组特定的目标。自我审核可以允许你:
·建立安全基准-多年来,多次自我审核的结果作为一个非常可靠的基准线来评估你的安全绩效。
·帮助执行安全法规和做法-审核可以确保你的公司实施的所有网络安全措施得到彻底执行和遵循。
·确定你的安全性的真实状态,并制定未来的战略-审计将会以比风险评估更为详细的方式告诉你事情的真实情况。它不仅仅是突出缺少的东西,而且还考虑到现有的过程,并展示了为什么以及如何改进它们。
所有这一切,自我审核是一个非常有用的工具,当你需要评估网络安全,或确保已准备好进行真正的合规审计。经常进行自我审核,这是一个很好的做法,在理想情况下每年多次。
但是如何进行网络安全审计?
有各种各样的方法来收集必要的数据,如访问管理,用户行为监控,以及员工跟踪软件,允许你生成集中的报告以进行彻底的安全评估。然而,如果说自我审计没有其缺点是不公平的,以下将更进一步地讨论这些问题。
但首先,先来看看进行自我审核的两种方式的利弊:
(1)外部对内部审计
在决定进行自我审核时,你可以在内部使用自己的资源或与外部审计师签订合同。而两者之间的选择并不像人们想象的那么简单。
外部审计师所做的事情很有意义。他们使用一套网络安全审核软件,例如漏洞扫描程序,并通过自己的丰富经验以检查你的系统安全性并找到漏洞。然而,他们的最大缺点就是他们成本高昂,而找到提供必要的资格和经验的审计师是非常困难的。
此外,这种审计的成功将在很大程度上取决于你的公司与审计师之间建立的沟通质量。如果审计人员无法获得正确的数据或推迟得到,则审计可能得到拖累,产生不可靠的结果或使成本膨胀。
所有这一切使外部审计成为一种奢侈品,而不是永久性的解决方案。他们每年都做得很好(如果你有时间和资金的话),或者是为了准备进行真正的合规性审计,但是每季度的成本都很高昂。
另一方面,内部审计是容易做到的,它们可以作为季度评估非常有效,帮助你收集数据以确保安全基准,并检查当前的政策是否有效。然而,缺点是内部审计师往往缺乏匹配专业外部审计质量所需的经验和工具。然而,这本身并不是通过简单地雇用合适的人才,以及对他们进行培训而无法解决的问题。
同时,内部审计不仅成本低廉,而且在进程方面也是有效的。内部员工或部门在没有建立有效沟通的艰巨过程,并且在不打扰公司内部现有工作流程的情况下,收集所有必要的数据要容易得多。
虽然内部审计在理论上可能看起来很复杂,但在现实中,您需要做的只是完成一系列简单的步骤,并获得所需的可交付成果。接下来,我们将更详细地讨论这些步骤。
自我审核的4个简单步骤
1.定义审核范围
你首先需要做的是确定你的审核范围。无论检查组织的一般安全状态还是进行特定的网络安全审核,第三方安全审核或任何其他安全审核,你需要知道应该查看的内容,以及应该跳过的内容。
为了做到这一点,你需要划定一个安全边界,这是围绕你所有宝贵资产的边界。这个边界应该尽可能的小,并且包括你拥有的并且需要保护的每一个有价值的资产。你将需要审核此边界内的所有内容,并且不会触及其外的任何内容。
定义安全边界的最佳方法是创建你的公司所有宝贵资产的列表。这可能是相当棘手的,因为公司经常忽略像纯粹的内部文件,详细说明,例如各种公司政策和程序,因为它似乎对潜在的犯罪者没有价值。然而,这些信息对于公司本身是有价值的,因为如果这些文件丢失或被破坏(例如,由于硬件故障或员工错误),则需要一些时间和金钱来重新创建它们。因此,它们也应包含在所有需要保护的资产的主要列表中。
2.定义数据所面临的威胁
一旦你定义了安全边界,你需要创建数据所面临的威胁的列表。最困难的部分是在威胁偏离之间达到正确的平衡,如果发生这种威胁,它将对你的底线产生多大的影响。例如,如飓风等自然灾害相对较少,但在财产方面却是毁灭性的,它可能仍然包含在列表中。
所有这一切,你可能应该考虑的最常见的威胁包括:
·自然灾害和物理破坏-如上所述,虽然这是很少发生的事情,但这种威胁的后果可能是毁灭性的,因此,你可能需要对其进行控制,以防万一。
·恶意软件和黑客攻击-外部黑客攻击是数据安全的最大威胁之一,应始终考虑。
·勒索软件-这种恶意软件在最近几年得到普及。如果你在医疗保健,教育或财务部门和领域工作,则应该注意。
·拒绝服务攻击-物联网设备的兴起,僵尸网络大幅上升。拒绝服务攻击现在比以往更广泛和更危险。如果你的业务依赖于不间断的网络服务,那么你一定要考虑到这些。
·恶意的内部人员-这是一个威胁,并不是每个公司都能考虑到,而是每个公司面临的风险。公司内部的员工和能够访问你的公司数据的第三方供应商都容易泄漏或滥用数据,你将无法检测到。因此,最好做好准备并将其纳入自己的威胁清单。但是之前,建议你查看威胁监控解决方案并进行比较。
·无意的内部人员-并非所有内部人员的攻击均来自于恶意。员工粗心或无意的错误地泄露了你的数据,这是在人们连接世界中变得非常常见的事情。这肯定是要考虑的威胁。
·网络钓鱼和社交工程-通常黑客将尝试通过以社会工程技术为你的员工定位网络,实际上让他们自愿放弃自己的凭证。这绝对是你应该对此作好准备好的事情。
3.计算风险
一旦建立了你的数据可能面临的潜在威胁的列表,你需要评估每个威胁的风险。这样的风险评估将有助于你在每个威胁上加上一个价格标签,并在实施新的安全控制时正确确定优先级。为了做到这一点,你需要了解以下这些事情:
·你以前的经验和经历-无论你是否遇到特定的威胁,都可能会影响你将来遇到的可能性。如果你的公司是黑客攻击或拒绝服务攻击的目标,那么很有可能会再次发生。
·一般的网络安全环境-了解目前网络安全的趋势。什么威胁越来越流行和频繁?什么是新的和新兴的威胁?哪些安全解决方案越来越流行?
·行业状况-了解你的直接竞争的经验以及行业所面临的威胁。例如,如果你在医疗保健或教育行业或部门工作,你将更频繁地面对内部攻击,网络钓鱼攻击和勒索,而零售行业可能更频繁地面临拒绝服务攻击和其他恶意软件。
4.设置必要的控制
一旦建立了与每个威胁相关的风险,你就可以完成最后一步,创建需要实施的控制的IT安全审核清单。检查已有的控制措施,并设计改进方法,或执行缺少的流程。
你可能考虑的最常见的安全措施包括:
·物理服务器的安全性-如果你拥有自己的服务器,那么你应该确保对其进行物理访问。当然,如果你只是从数据中心租用服务器空间,这不是问题。同时,你的公司使用的任何物联网设备都应将所有默认密码更改,并彻底保护物理访问,以防止任何黑客进行尝试。
·定期数据备份-数据备份在自然灾害的情况下非常有效,或恶意软件攻击会将您从数据(ransomware勒索病毒)中破坏或锁定。确保尽可能频繁地完成你的所有备份数据,并建立一个适当的恢复数据的过程。
·防火墙和防病毒-这是网络安全的最后防线,但是你需要使用正确配置的防火墙和具有防病毒软件的计算机来保护网络。
·反垃圾邮件过滤器-正确配置的反垃圾邮件过滤器可以成为打击通过邮件发送的网络钓鱼攻击和恶意软件的一大好处。虽然你的员工可能知道不要点击电子邮件中的任何链接,但人们需要更好的安全性,而不是抱歉。
·访问控制-有几种方法可以控制访问,你最好把它们放在一起。首先,你需要确保你控制用户拥有的权限级别,并且在创建新帐户时使用最低权限的原则。除此之外,双因素身份验证是必须的,因为它大大增加了登录过程的安全性,并允许你知道谁精确访问你的数据,以及何时访问。
·用户操作监控-软件可以录制用户在会话期间进行的所有操作,从而允许你在适当的内容中检查每个事件。在检测内部威胁方面,这不仅非常有效,而且也是调查任何漏洞和威胁的良好工具,也是对如何进行IT安全合规性审核的一个很好的答案,因为它允许你产生这种审计的必要数据。
·员工安全意识-为了保护员工不受网络钓鱼和社会工程攻击,并减少无意中的错误频率,并确保所有安全程序得以贯彻,最好是教育他们最佳的网络安全。向员工介绍他们和你的公司面临的威胁,以及为应对这些威胁而采取的措施。在网络安全方面,提高员工的意识是将其从责任转变为有用资产的好方法。
结论确定审计范围,确定威胁,评估与每一个威胁相关的风险,以及评估现有的安全控制和制定新的控制措施和措施是上述4个简单的步骤。人们需要做的是进行安全审计。
你的可交付成果应对你当前的安全状态进行彻底的评估,以及如何改进事项的具体建议。这种自我审核的数据用于建立安全基准,以及制定你的公司的安全策略。
网络安全是一个持续的过程,自我审核应该是保护你的数据的道路上的重大的里程碑。
本文转自d1net(转载)