Kā veikt DIY drošības auditu

  • Dec 04, 2023

Drošības audits var būt svarīgs rādītājs jūsu organizācijas gatavībai cīnīties pret kiberuzbrucējiem, taču jums ir jāveic pareizais vajadzīgās lietas audits.

Līdz šim esat dzirdējis daudz šausmu stāstu par ļaunprātīgu programmatūru un pikšķerēšanas uzbrukumiem zināt par izpirkuma programmatūru, un esat dzirdējis par to, kā ārvalstu valdības palīdz uzbrukt lielākajiem uzņēmumiem ASV. Tas viss ir diezgan satraucoši, taču šie stāsti īsti nesniedz daudz norādījumu par to, ko varat darīt, lai aizsargātu savu biznesu.

Viens labs veids, kā uzzināt, vai esat pietiekami aizsargāts, ir a drošības audits. Tas palīdzēs jums atrast drošības kļūdas un ievainojamības jūsu tīkla konfigurācijā. Taču ņemiet vērā, ka, lai gan jūs varat doties uz priekšu pats, dažiem revīziju veidiem ir nepieciešams ārējs profesionālis.

Pirmkārt, šeit ir daži jautājumi, uz kuriem ir jāatbild.

  • Kāda veida audits? Ja tas ir oficiāls atbilstības audits, jums būs jāiesaista trešā puse, lai apstiprinātu atbilstību. Ja apstiprināt gatavību tādiem noteikumiem kā GDPR vai CCPA, jums būs jālejupielādē prasības un jāizmanto tās kā ceļvedis.
  • Kurš veiks auditu? Personai no jūsu personāla, kas galvenokārt ir atbildīga par drošību, nevajadzētu veikt auditu. Jums ir nepieciešams svaigs acu komplekts.
  • Vai jums ir aizdomas par krāpšanu vai kādu citu nelikumīgu vai neētisku darbību? Ja jums ir aizdomas par noziedzīgu darbību, jums jāiesaista tiesībaizsardzības iestādes. Pretējā gadījumā jums jāiesaista kāds, par kuru nav aizdomas.

Bet, ja meklējat norādi par savu vispārējo drošību, varat veikt auditu pats, tiklīdz esat iecēlis darbinieku, kurš to vadīs. Pirmkārt, jums jāaplūko kopējais attēls:

  • Nosakiet audita apjomu. Nevar visu revidēt uzreiz. Iespējams, varat pārbaudīt savas vietnes, e-komercijas darbību vai iekšējā tīkla drošību. Varat arī apsvērt iespēju pārbaudīt savu spēju atgūt datus no dublējuma.
  • Izlemiet par mērķi. Ja jūs vienkārši mēģināt atklāt acīmredzamas nepilnības, iespējams, jums nav nepieciešams detalizēts ziņojums.

Tagad jums ir jāsadala drošības attēls fokusa jomās. Varat to darīt atsevišķi vai iesaistīt vairākus cilvēkus un darīt vairāk vienlaikus.

Fiziskā drošība

Ja ļaundariem ir fiziska piekļuve jūsu tīklam, viņi var darīt visu, ko vēlas. Jums būs jāpārliecinās.

  • Visa tīkla iekārta, tostarp serveri, slēdži un maršrutētāji, atrodas aiz aizslēgtām durvīm.
  • Piekļuve tīkla aprīkojumam izmanto ieejas un izejas reģistrēšanas metodi, piemēram, elektronisko kombinēto slēdzeni vai (vēlams) atslēgu karšu sistēmu.
  • Piekļuve tiek uzraudzīta, izmantojot video vai personālu.
  • Ir uzstādīti trauksmes signāli pret neatļautu iekļūšanu, ugunsgrēku, plūdiem, dūmiem un citiem vides apdraudējumiem. Šie trauksmes signāli ir jāuzrauga.

Piekļuves drošība

Tagad jūs zināt, ka jums ir jākontrolē piekļuve saviem datiem. Tāpēc jums ir paroles.

  • Pārliecinieties, vai jums ir pamata piekļuves drošība, piemēram, paroles, un ka jums ir pamatprasības attiecībā uz to ilgumu, sarežģītību un atjaunināšanas biežumu. Varat arī kā piekļuves metodi iekļaut biometriskos datus.
  • Apstipriniet, ka piekļuve ir ierobežota tiem, kam ir īpaša vajadzība pēc datiem.
  • Apstipriniet, ka visi uzņēmuma dati, tostarp jūsu uzņēmuma tālruņu katalogs un e-pasta katalogs, ir aizsargāti ar piekļuves kontroli.
  • Pārbaudiet tīkla segmentāciju pēc funkcijas. Tas nozīmē, ka dažām darba funkcijām ir liegta piekļuve nepiemērotām vietām jūsu tīklā. Jūsu autoiekrāvēja vadītājiem, iespējams, nav nepieciešama piekļuve uzskaites tīklam, un HVAC remontdarbu veicējam nav nepieciešama piekļuve tirdzniecības vietu tīklam.
  • Pārliecinieties, ka interneta pakalpojumi, piemēram, jūsu vietne, ir atdalīti no jūsu iekšējā korporatīvā tīkla. Tas nozīmē pilnīgi atsevišķi — pavisam citā tīklā.
  • Apstipriniet, ka jums ir līdzekļi, lai nekavējoties informētu IT par darbinieku atdalīšanu, lai šos kontus varētu nekavējoties bloķēt vai dzēst.

Datu drošība

Pat ja ļaundari nokļūst jūsu tīklā, jūs joprojām varat būt aizsargāts, ja viņi nevar atrast vai izmantot jūsu datus.

  • Apstipriniet, ka jūsu organizācija dati ir šifrēti. Windows 10 un Windows Server to var izdarīt, vienkārši mainot konfigurācijas iestatījumu. Citām operētājsistēmām var būt nepieciešamas dažādas darbības, taču visiem datiem jābūt šifrētiem.
  • Pārliecinieties, vai jūsu šifrēšanas atslēgas tiek glabātas kaut kur, izņemot aizsargātajā ierīcē. USB atslēga aizslēgtā seifā ir laba vieta.
  • Pārliecinieties, vai ir instalēta atbilstoša ļaunprātīgas programmatūras novēršanas programmatūra, vai tā tiek atjaunināta un iestatīta jūsu sistēmu pārraudzībai reāllaikā. Programmatūrai jāspēj noteikt ļaunprātīgas programmatūras parakstus un arī aizdomīgas darbības. Pārraugiet arī savu e-pastu un darbinieku pārlūkošanas aktivitātes.
  • Pārliecinieties, vai jūsu dati tiek šifrēti sūtīšanas laikā, kā arī tad, kad tie tiek glabāti diskā. Tas nozīmē, ka visiem sakariem jābūt šifrēts, izmantojot VPN vai citos veidos un ka attālā tīkla operators ir uzticams.
  • Pārbaudiet, vai jūsu mākoņpakalpojumos ir iespējota drošība un šifrēšana. Jums vajadzētu plānot atsevišķu mākoņpakalpojumu drošības auditu.

Sistēmas drošība

Pretojieties kārdinājumam aizkavēt operētājsistēmu vai lietojumprogrammu atjauninājumus. Ja jūsu IT vadītājs saka, ka ir pārāk aizņemts, atrodiet citu vadītāju. Ja jūsu lietojumprogrammas piegādātājs saka, ka nevar uzreiz reaģēt uz atjauninājumiem, atlaidiet pārdevēju.

  • Apstipriniet, ka esat ieviesis praksi, lai nekavējoties lietotu sistēmas ielāpus un galapunktu atjauninājumus. Tas var nozīmēt atjaunināšanas servera pievienošanu tīklam.
  • Apsveriet iespēju pievienot drošības ierīci, piemēram, Sonicwall ierīces, kas pieejamas, izmantojot Dell. Šīm ierīcēm ir iespēja meklēt ievainojamības, meklēt ļaunprātīgu programmatūru un izveidot VPN savienojumus.
  • Apsveriet iespēju veikt ievainojamības testus saviem interneta tīkliem, izmantojot OWASP vai citu ievainojamības novērtēšanas pakalpojumu. OWASP ir Atveriet tīmekļa lietojumprogrammu drošības projektu, un tajā ir daudz informācijas, tostarp novērtēšanas rīku saraksts.
  • Apstipriniet, ka lietojat programmaparatūras atjauninājumus savām ierīcēm, tostarp serveriem un infrastruktūras aprīkojumam, tiklīdz tie ir pieejami.
  • Ja jums ir kāda aparatūra, kas ir novecojusi vai darbojas operētājsistēmas, kas vairs netiek atbalstītas, pārtrauciet darbību un atsvaidziniet. Vecāku serveru uzturēšana savienojumā ar internetu ir problēmu recepte.

Personāla drošība

Jūsu darbinieki var būt jūsu drošības stiprākā vai vājākā daļa. Tas ir faktors, kuru jūs pilnībā kontrolējat.

  • Pārliecinieties, vai jūsu organizācijai ir visaptveroša personāla drošības rokasgrāmata un ka tā ir atjaunināta. Pārbaudiet, vai tas atspoguļo pašreizējo labāko praksi jūsu nozarē.
  • Pārliecinieties, ka jūsu darbinieki regulāri tiek apmācīti par drošību, tostarp improvizētas pārbaudes un uzbrukuma scenāriju apraksti.
  • Apstipriniet katra darbinieka apmācības un testēšanas ierakstus.
  • Pārliecinieties, vai katrs darbinieks zina, kā ziņot par reāliem vai iespējamiem drošības apdraudējumiem, pikšķerēšanas mēģinājumiem vai citām drošības problēmām, tostarp citu darbinieku vai apmeklētāju riskantām darbībām.
  • Apsveriet atlīdzības programmu, lai ziņotu par drošības problēmām.
  • Nodrošiniet, lai darbinieki saņemtu pozitīvas atsauksmes par pareizu drošības pozu.
  • Pārbaudiet, vai tiek ievērota ikdienas drošības prakse. Tas var nozīmēt, ka svešinieks mēģina piekļūt servera telpai vai pārbaudīt personālu, lai noskaidrotu, vai viņi var tikt galā ar imitētu pikšķerēšanas uzbrukumu.

Ierakstiet visu

Pat ja oficiāls ziņojums par drošības auditu nav nepieciešams, pārliecinieties, vai ir pieejams detalizēts ieraksts par konstatējumiem un ieteiktajām darbībām, un pēc tam lieciet jums veikt šīs darbības. Informācijas drošība nav saistīta ar snauduļošanu vai cilvēku ievešanu nepatikšanās; tas ir par sensitīvu datu aizsardzību un jūsu uzņēmuma, klientu un darbinieku aizsardzību.