læsere, jeg vil lade dig ind på en lille hemmelighed…
mellem dig og mig, jeg blev hacket; af min bedste ven ikke mindre! Heldigvis, det var bare en irriterende prank, men det tjente til at lære mig en lektion.
på trods af min grandiose overbevisning om, at jeg vidste alt, hvad jeg havde brug for at vide om alle ting digitalt, havde jeg ikke den svageste ide om, hvordan man kunne se en svigagtig besked fra en legitim. Og denne form for trussel er en af de største risici, virksomheder står over for i dag.
i 2005 blev der rapporteret 157 databrud i USA med 66,9 millioner poster udsat. Fra 2005-2014 var der en 500% stigning i databrudfrekvensen.
dette antal blev næsten fordoblet på 3 år til 1,579 rapporterede overtrædelser i 2017.
selvom databrud siden er faldet (1.506 problemer blev rapporteret i 2019), indgav IBMs rapport om databrud i 2020 en stigning på 12% i omkostningerne til databrud over 5 år og steg til ~$3,92 millioner pr.hændelse.
det stigende antal brud og tilknyttede omkostninger synes at være en følge af løbende skiftende hackingmetoder og et voksende antal indgangspunkter (det kommer fra digitalisering).
sikkerhedsrevisioner giver organisationer mulighed for at oprette hårdere sikkerhedsvægge som et adaptivt forsvar mod trusler om databrud.
med dette i tankerne oprettede Process Street denne artikel som din ultimative sikkerhedsrevisionsguide med adgang til vores gratis checklister og processer til sikkerhedsrevision.
vi dækker:
- Hvad er sikkerhedsrevisioner?
- 4 checklister for sikkerhedsrevision til forebyggende risikostyring
- bedste praksis for sikkerhedsrevision
- sikkerhedsprocesser for strammere sikkerhedssikkerhed
lad os komme i gang!
hvad er sikkerhedsrevisioner?
en sikkerhedsrevision er en paraplybetegnelse for de mange måder, hvorpå organisationer kan teste og vurdere deres overordnede informationssikkerhedsposition.
når organisationer overgår til drift og lagring af information i et digitalt rum, fokuserer sikkerhedsrevisioner på effektiviteten af en organisations cybersikkerhed ved omfattende gennemgang af en organisations IT-infrastruktur.
en grundig sikkerhedsrevision vil evaluere sikkerheden af et systems fysiske konfiguration og miljø -, programmel-og informationshåndteringsprocesser og brugerpraksis. Målet er at etablere overholdelse af lovgivningen i kølvandet på lovgivning som:
- HIPAA: Health Insurance Portability and Accountability Act sætter standarden for følsom patient databeskyttelse. Virksomheder, der beskæftiger sig med beskyttede sundhedsoplysninger, skal have sikkerhedsforanstaltninger på plads for at følge og sikre HIPAA-overholdelse.
- Sarbanes: Det Sarbanes – lov er en amerikansk føderal lov, der sigter mod at beskytte investorer ved at gøre virksomhedsoplysninger mere pålidelige og nøjagtige for at beskytte investorer mod svigagtige aktiviteter.
- California Security Breach Information Act: California Security Breach Information Act blev vedtaget i 2003 og er en californisk statslov, der kræver, at organisationer opretholder personlige oplysninger om enkeltpersoner for at informere disse personer, hvis sikkerheden af deres oplysninger kompromitteres.
der er 4 hovedtyper af sikkerhedsrevisioner at overveje:
- en compliance audit larr
- en risikovurderingsrevision larr
- en sårbarhedsvurdering larr
- en penetrationstest 👩💻
senere i denne artikel vil vi se nærmere på disse revisionstyper og give dig fri adgang til vores interne sikkerhedsrevisionstjeklister, hvor det er relevant, så sørg for at fortsætte med at læse!
men først skal vi afklare forskellen mellem en intern og en ekstern revision.
intern revision vs ekstern revision
hver revision, der udføres, er enten en ekstern revision eller en intern revision.
en ekstern revision udføres af en certificeret professionel uafhængig af den organisation, der revideres. Hensigten med at udføre en ekstern revision er at samle de mest upartiske resultater muligt.
en intern revision bruges generelt som et styringsværktøj til at forbedre interne processer og kontroller. Interne revisioner skal gennemføres uafhængigt og objektivt for at sikre overholdelse af en given forretningsdrift til standarder fastsat af organisationen, tilsynsorganet eller regeringen.
hovedfunktionerne i en intern revision er:
- de er frivillige.
- de udføres internt af et medlem af din virksomhed/organisation.
som driftsleder vil en intern revision være den mest relevante for dig og dine teams. Og i denne artikel forklarer vi, hvordan du kan foretage effektiv intern sikkerhedsrevisionskontrol på tværs af de 4 typer sikkerhedsrevisioner.
når en intern sikkerhedsrevision er afsluttet, skal resultaterne meddeles den øverste ledelse og en bestyrelse.
4 checklister for intern sikkerhedsrevision til forebyggende risikostyring
en checkliste for sikkerhedsrevision er et uvurderligt værktøj til at sammenligne en virksomheds praksis med de standarder, der er fastlagt af en organisation, et tilsynsorgan eller en regering. En revisionscheckliste vil lede din interne revisor gennem de vigtigste trin, der er nødvendige for at gennemføre den interne sikkerhedsrevisionsvurdering nøjagtigt og effektivt hver eneste gang.
Process Street er et værktøj til styring af forretningsprocesser, som du kan bruge til at dokumentere dine forretningsprocesser i tjekliste-formular gratis. Og heldigvis, med hensyn til vigtige sikkerhedsrevisionsprocesser, vi har allerede gjort det meste af arbejdet for dig!
” Det Business Process Control program, du har ledt efter.”- Partner & Integrator hos Adam Schvickert, Programrådgivning
vores team på Process Street har bygget checklister til sikkerhedsrevision, og jeg har listet dem nedenfor med deres tilsvarende revisionstype. Vi anbefaler, at du bruger alle vores checklister til sikkerhedsrevision for at foretage en løbende sikkerhedsgennemgang og sikre, at din forretningsdrift altid er på niveau. Få adgang til disse tjeklister gratis ved hjælp af din Process Street-konto.
overholdelse: ISO 27001 Audit Checklist
en compliance security audit undersøger en organisations politikker, ser på adgangskontroller og sikrer, at alle regler følges for at forbedre sikkerheden.
de er nødvendige for enhver virksomhed, der skal overholde specifikke regler i branchen. Hvis du ikke gør dette, kan det resultere i bøder og/eller tab af kunder.
det er ubestrideligt, at mange virksomheder ser International organisation for standardisering (ISO) som et emblem af prestige. ISO er verdens største sæt anerkendte forretningsprincipper med medlemskab af over 165 anerkendte nationale standardiseringsorganer. For at starte op har over en million virksomheder og organisationer i over 170 lande en eller anden form for ISO-certificering.
ISO 27001-serien af standarder er specielt designet til at beskytte følsomme brugeroplysninger, og overholdelse af disse standarder er et eksempel på en overensstemmelsesrevision.
du kan have teknologien på plads (brandvægge, sikkerhedskopier, antivirus, tilladelser osv.) og støder stadig på databrud og operationelle problemer.
dette skyldes ofte, at sikkerhedsproblemet ikke er med værktøjerne i sig selv, men med den måde, folk (eller medarbejdere) bruger disse sikkerhedsværktøjer, procedurer og protokoller på.
ISO 27001-standarder løser dette problem ved at kræve, at der indføres systemer til at identificere risici og forhindre sikkerhedshændelser.
Kør vores ISO 27001 Information Security Management System (ISO27K ISMS) Audit checkliste til at udføre en intern compliance security audit på din organisations information security management system (ISMS) mod ISO 27001:2013 krav.
Klik her for at få adgang til vores ISO 27001 Information Security Management System (ISO27K ISMS) revision tjekliste!
nøgle tjekliste funktion: Stop opgaver for at oprette en tjekliste med en tvungen ordre og deaktivere opgaver, indtil de er relevante. Når det kommer til compliance-revision, fungerer Stop-opgaver som din kontrolforanstaltning, hvilket sikrer, at der ikke går glip af opgaver, og at der er adgang til aktiviteter i henhold til alle overholdelsesstandarder.
læs vores ISO: alt hvad du behøver at vide (Ultimate Guide + gratis skabeloner) post for at lære mere om ISO-standarder og hvordan man implementerer dem.
risikovurdering: risikostyringsproces
risikovurderinger er blandt de mest almindelige typer sikkerhedsrevisioner. Målet med en risikovurdering er at hjælpe virksomheder med at identificere, estimere og prioritere forskellige opgaver relateret til organisationens sikkerhedsfunktioner. Sikkerhedsrisikovurderinger er vigtige for at hjælpe virksomheder med at evaluere deres evner til at reagere på specifikke typer problemer ved at teste deres sikkerhedsforanstaltninger.
for at gennemføre en sikkerhedsrisikovurdering hjælper det med at følge en god proces. Vores risikostyringsprocescheckliste giver dig et solidt fodfæste for at tilpasse og forfine en sikkerhedsrisikovurdering og ledelsesmetode for din organisation.
Klik her for at få adgang til vores risikostyringsproces!
nøgle tjekliste funktion: opgavetildelinger giver dig mulighed for at tildele brugere og grupper til opgaver i dine tjeklister, hvilket effektivt giver dem ansvar for disse opgaver. Dette sikrer, at det rigtige teammedlem er ansvarlig for de relevante opgaver og hjælper effektivt teamsamarbejde med at gennemføre din risikovurdering.
du kan nemt redigere denne tjekliste, så den passer til dine specifikke behov. For mere information om, hvordan du gør dette, se vores nedenstående video.
sårbarhedsvurdering: tjekliste for Netværkssikkerhedsrevision
målet med en sikkerhedsrevision for sårbarhedsvurdering er at identificere sikkerhedssvagheder, der systematisk kan spredes gennem sikkerhedssystemet og kan være i fare for at blive udnyttet.
vores tjekliste for revision af netværkssikkerhed ser på både menneskelige risici og programmelrisici i et system, især med hensyn til, hvor disse to risici mødes. Målet er at få et overblik over alle de risici, der er til stede i dette system.
Kør denne tjekliste for Netværkssikkerhedsrevision for at gennemføre en sikkerhedsrevision for sårbarhedsvurdering for at kontrollere effektiviteten af dine sikkerhedsforanstaltninger i din infrastruktur.
Klik her for at få adgang til vores tjekliste for Netværkssikkerhedsrevision!
nøgle tjekliste funktion: Vores variable funktion giver dig mulighed for at indsætte værdier fra formularfelter i andre dele af din tjekliste. Variabler kan bruges i tekstkontroller og e-mail-kontroller til at videregive oplysninger til det næste trin eller person i processen. I Vores Netværkssikkerhedsrevision samler denne funktion nøgleoplysninger fra revisionen til en e-mail, der skal sendes til de relevante interessenter med et klik på en knap.
penetrationstest: checkliste for revision af Brandvæg
penetrationstest køres ofte af mennesker, der kaldes etiske hackere. Disse hackere betales for at forsøge at få adgang til en virksomheds interne arbejde på samme måde som en traditionel hacker. Målet med en penetrationstest er at identificere systemsvagheder, der kan udnyttes af en ægte hacker, hvilket ville resultere i et cybersikkerhedsbrud.
normalt er penetrationstesthackere eksperter i de nyeste hackingmetoder, som konstant ændrer sig. På grund af dette, og det faktum, at der er flere hacker-indgangspunkter i vores stærkt forbundne forretningsverden, der er ingen standard go – to-proces, der lægger grundlaget for penetrationstest-vi overlader den til de etiske hackere.
det er vigtigt at have din sikkerhedsbrandvæg op til bunden under en penetrationstest, og til det kan du bruge vores checkliste til revision af brandmur.
din netværkssikkerhedsenhed er en netværkssikkerhedsenhed, der overvåger indgående og udgående netværkstrafik og beslutter, om Tillad eller bloker specifik trafik baseret på et defineret sæt sikkerhedsregler. Brandvægge fungerer som din første forsvarslinje mod hackere. Det er derfor vigtigt at sikre, at din er førsteklasses og sikker under penetrationstesten.
vores checkliste til revision af brandmuren er udviklet til at give en trinvis gennemgang af, hvordan du kontrollerer, at din brandmur er så sikker, som den kan være.
Kør denne kontrolliste, når du begynder gennemgangen af en kontrolliste for at optimere dens sikkerhed og ydeevne. Identificer sårbarheder i din sikkerhed forsvar, sædvanligvis rydde væk rod, og opdatere dine tilladelser til relevans.
Klik her for at få adgang til vores tjekliste til revision!
nøgle tjekliste funktion: godkendelser betyder, at det relevante personale kan give klarsignal eller afvisning på vigtige tjekliste elementer. I dette tilfælde taler vi om handlingsmæssige brandvægsforbedringer, der skal gennemgås og godkendes af den øverste ledelse.
vigtigheden af at køre en effektiv sikkerhedsrevision (med casestudier)
sikkerhedsrevisioner fungerer som din virksomheds sikkerhedsnet for at forhindre informationsbrud og de deraf følgende økonomiske og etiske omkostninger. Ved udførelse af en sikkerhedsrevision kan en virksomhed vurdere sin aktivitet, identificere sikkerhedssmertepunkter og risici og tage en proaktiv tilgang til forbedret sikkerhed.
i nogle brancher (medicinsk og finansiel) er sikkerhedsrevisioner en nødvendighed ved lov. Uanset om du er juridisk bundet eller ej, er det vigtigt at køre en sikkerhedsrevision for en organisations sikkerhed og succes. Som beskrevet af Varonis vil udførelse af en regelmæssig sikkerhedsrevision:
- Kontroller, om din sikkerhedsstrategi er tilstrækkelig eller ej.
- kontroller proaktivt sikkerhedsuddannelsesindsatsen for at definere, om de forbedrer revisionsresultaterne – dermed forretningssikkerhed – fra en revision til den næste.
- reducer sikkerhedsomkostninger ved at lukke eller genbruge irrelevant udstyr og programmer, der blev afdækket under revisionen.
- Afdæk sårbarheder introduceret i din organisation ved hjælp af ny teknologi eller processer.
- Bevis, at din organisation er i overensstemmelse med regler, såsom: HIPAA, SHIELD, CCPA, GDPR osv.
Hvad sker der, hvis dine sikkerhedsrevisionsprocesser er utilstrækkelige og ineffektive? Jeg har brugt følgende casestudier til at afsløre den sande betydning af forbedret og optimeret forretningssikkerhed.
casestudie: EasyJet sikkerhedsbrud
i maj 2020 meddelte EasyJet, at 2.208 kunder havde deres e-mail-adresser, rejseoplysninger, kreditkortoplysninger og CVV-sikkerhedskoder udsat. EasyJet hævdede, at der ikke fandt nogen svigagtig aktivitet sted, imidlertid, yderligere undersøgelse af Action Fraud rapporterede 51 tilfælde af svigagtig aktivitet blev foretaget i EasyJet-sikkerhedsbruddet.
informationskommissærens kontor (ICO) er et uafhængigt reguleringskontor med ansvar for at opretholde informationsrettigheder i offentlighedens interesse. ICO udstedte en rekord på $130 millioner bøde over overtrædelsen med yderligere kompensationsudbetalinger til kunderne. Bruddet fik også mærket til at lide en negativ tilbageslag med hensyn til dets offentlige image.
casestudie: brud på sikkerhedskontrol
i lyset af COVID-19-pandemien er organisationer over hele kloden blevet tvunget til at vedtage en mere fjern arbejdsstil. For at hjælpe organisationer med at gøre dette er fjernarbejdsværktøjer, som f.eks. Disse værktøjer giver organisationer mulighed for at fortsætte med at fungere effektivt og produktivt på trods af forretningens turbulens.
endnu, selv har haft sin rimelige andel af problemer.
i starten af April 2020, da medarbejderne bosatte sig i deres nye arbejdsmiljø, blev det afsløret, at den virtuelle mødeapp led et ydmygende sikkerhedsbrud.
loginoplysningerne for over 500.000 brugere blev eksponeret. Oplysningerne blev derefter solgt på det mørke internet via hackerfora for lidt som $0.01.
kriminelle kunne bruge loginoplysninger, e-mail-adresser, personlige mødeadresser og værtsnøgler til at deltage i møder eller bruge de høstede oplysninger til andre ondsindede formål.
kompromitterede medarbejderdata (f.eks. ulovligt delte data) kan få organisationer til at blive udsat for medarbejderinitierede retssager og lovgivningsmæssige bøder i de fleste jurisdiktioner.
Federal Trade Commission beordrede at gennemføre et bredt informationssikkerhedsprogram. Organisationen vil blive udsat for bøder på op til $46,280 for hver fremtidig overtrædelse i henhold til denne aftale.
bedste praksis for sikkerhedsrevision
så hvordan sørger du for, at dine interne sikkerhedsrevisioner er effektive?
overvej følgende bedste praksis for sikkerhedsrevision for optimeret forretningssikkerhed:
- Indstil dit sikkerhedsrevisionsomfang kar
hvilke er de højprioriterede aktiver, som du skal scanne og overvåge? Lav en liste over vigtige aktiver såsom følsomme kunde-og virksomhedsdata, intern dokumentation og IT-infrastruktur. Indstil derefter dine sikkerhedsparametre; det vil sige, hvilke detaljer vil din revision dække, hvilke detaljer vil blive udeladt, og hvorfor? - List potentielle trusler liter
Hvordan kan du bygge et skjold omkring en uidentificeret trussel? Navngiv truslerne mod din organisation for at forstå, hvad det er, du leder efter. Almindelige sikkerhedstrusler omfatter uagtsomme medarbejdere, ondsindede programmer og phishing-angreb. Yderligere detaljer om disse trusler er angivet nedenfor, sammen med de tilknyttede tjeklister for at hjælpe dig med at løse dem. - vurder det nuværende niveau for sikkerhedsydelse liter
du skal tænke over, hvad du gør rigtigt. Hvor kan din sikkerhedsindsats forbedres? Dit team skal holde sig til strenge sikkerhedsprocedurer og bedste praksis.det er her procesdokumentationen kommer til sin ret. Ved at dokumentere bedste sikkerhedspraksis kan du distribuere disse på tværs af dit team og sikre, at alle medarbejdere følger de bedste sikkerhedstrin. Opsæt din gratis Process Street konto og begynde at dokumentere dine sikkerhedssystemer.
- Opsæt konfigurationsscanninger venstre
brug af en avanceret scanner hjælper dig med at opdage sikkerhedssårbarheder og vurdere effektiviteten af systemsikkerhedsforbedringer. Tænk på de programmer, du kan bruge, som du ikke bruger. Programmer, du kan overveje at bruge, Inkluderer McAfee Total Protection,Norton og alarm. Du skal køre konfigurationsscanninger, når du foretager din sikkerhedsrevision, da de hjælper dig med at få øje på konfigurationsfejl, som folk i dit team muligvis har begået. - Vær proaktiv og ikke reaktiv
du vil holde øje med alle rapporter, ikke kun presserende advarsler. Dermed vil du vedtage en mere proaktiv tilgang til sikkerhed snarere end en reaktiv. Sikkerhedsrapportoplysninger kan i første omgang se uændrede ud, men med tiden kan der opstå store trusler. - udfør en intern sårbarhedsscanning kart
vælg en sårbarhedsscanner på virksomhedsniveau, såsom Intruder.io eller Nessus. Disse scannere installerer en agent på din organisations computere for at overvåge deres sårbarhedsniveau. Du vil gerne køre en intern sårbarhedsscanning månedligt eller kvartalsvis. - Kør phishing-test karrus
Opret en rutine med at sende falske phishing-e-mails til folk i dit team som effektiv cybersikkerhedstræning. Hvis du gør dette, får teammedlemmer en tæt på den virkelige oplevelse af et phishing-angreb og kan vurdere deres sårbarhed over for scenarier, hvor de giver hackere adgang til følsomme oplysninger. - Overvåg dine logfiler for brandvæg
se efter uoverensstemmelser eller usædvanlig opførsel i din brandvæg.
sikkerhedsprocesser til styrkelse af informationssikkerhed
vi har dækket, hvad en sikkerhedsrevision er, bedste praksis for sikkerhedsrevision, de fire typer sikkerhedsrevisioner og leveret fire sikkerhedsrevisionstjeklister, der hjælper dig med at handle hver type. Men der er andre sikkerhedsprocesser, du også skal køre i baggrunden for at hjælpe dig med at forbedre dine sikkerhedsrevisionsstandarder.
lad os tage et dybt dyk ned i et par flere Process Street checklister, der vil styrke din organisations informationssikkerhed.
skabelon til tjekliste til administration af Virksomhedsadgangskoder
det kan virke indlysende, men hvis en medarbejder bruger en svag adgangskode til følsomme data, udgør dette en intern sikkerhedstrussel for din virksomhed.
på Process Street har medarbejderne tofaktorautentificeringsadgang for alle relaterede konti for at undgå dette. Vi bruger LastPass til sikkert at gemme og vurdere adgangskodestyrke ud over tofaktorautentificeringskoder.
vi kører også vores skabelon til tjekliste til administration af Virksomhedsadgangskoder for at styrke vores administration af virksomhedsadgangskoder.
Klik her for at få adgang til vores Enterprise Adgangskodestyring Tjekliste skabelon!
IT Security Incident Response Plan
ondsindet program er en generel betegnelse for virus og andre skadelige computerprogrammer, som hackere bruger til at få adgang til følsomme oplysninger. Ved at isolere en kompromitteret applikation kan du forhindre angribere i at få adgang til andre systemer og netværksressourcer og igen gøre deres forsøg ubrugeligt.
på Process Street bruger vi vores IT Security Incident Response Plan til at isolere berørte systemer (opgave 15). Brug denne tjekliste til et magert og hurtigt svar på sikkerhedshændelser – herunder problemer med ondsindede programmer.
Klik her for at få adgang til vores IT-sikkerhed Incident Response Plan!
Email Server Security checklist
Phishing-angreb er svigagtig kommunikation, der ser ud til at komme fra velrenommerede kilder. E-mail er ofte det primære mål for et phishing-angreb.
der er mange trin, du kan tage for at sikre din e-mail fra et teknisk synspunkt. For eksempel aktiverer vi på Process Street SPF, DKIM, DMARC, DNSSEC – oplysninger om, hvordan du kan gøre det samme, findes i vores e-mail-Serversikkerhedstjekliste.
Klik her for at få adgang til vores e-mail Server sikkerhed tjekliste!
skabelon til tjekliste til sikkerhedsrevision
hvis du også administrerer en førsteklasses blog i Process Street, skal du bruge en procedure til vedligeholdelse af sikkerhedsovervågning for at holde din virksomheds følsomme oplysninger private.
hvis dine konti ikke administreres korrekt og regelmæssigt, kan det gøre din hjemmeside sårbar over for indbrud og kompromittere din virksomheds tilstand. Du kan forberede dig på og undgå eventuelle trusler mod din hjemmeside.
Klik her for at få adgang til vores skabelon til tjekliste til sikkerhedsrevision!
informationssikkerhed Tjekliste skabelon
informationssikkerhed er en proces, der bør prioriteres for at holde din virksomheds private oplysninger netop det, private. Hvis din virksomheds følsomme oplysninger ikke er ordentligt beskyttet, løber det potentialet for at blive overtrådt, hvilket skader privatlivets fred og fremtiden for din virksomhed og medarbejdere.
Kør vores tjekliste til informationssikkerhed, når du har brug for at administrere informationssikkerhed.
Klik her for at få adgang til vores informationssikkerhed checkliste skabelon!
Følg processer for at beskytte din organisation mod sikkerhedstrusler
uanset om du administrerer virksomhedsadgangskoder eller udfører en intern sikkerhedsrevision for at opfylde overholdelsesstandarder, skal du følge effektive processer håndhæve standardisering og give dig kontrol.
du kan oprette optimerede sikkerhedsprocesser ved hjælp af din gratis Process Street-konto. Kør sikkerhedskontrol og regelmæssige sikkerhedsprocesser for ultimativ forretningsbeskyttelse. Hvad venter du på?
Tilmeld dig Process Street og kom i gang i dag!
For yderligere hjælp til dine revisionsprocesser, se vores følgende ressourcer:
- revisionsprocedurer: en hurtig tur med 19 (gratis) skabeloner
- revisionsproces: 5 Eksperttrin, så du kan få din revision rigtig
- finansielle revisioner: en hurtig Guide med gratis skabeloner
- Grundlæggende om intern revision: Hvad, hvorfor og hvordan man gør dem (5 Revisionstjeklister)
- Compliance Audit: hvad det er, hvordan man forbereder sig, og hvorfor du skal passe