Leitores, vou deixá-lo em um pequeno segredo…
Entre mim e a você, Eu estava invadido pelo meu melhor amigo, não menos! Felizmente, foi apenas uma brincadeira irritante, mas serviu para me ensinar uma lição.
apesar de minhas crenças grandiosas de que sabia tudo o que precisava saber sobre todas as coisas digitais, não tinha a menor ideia de como detectar uma mensagem fraudulenta de uma legítima. E esse tipo de ameaça é um dos maiores riscos que as empresas enfrentam hoje. Em 2005, 157 violações de dados foram relatadas nos EUA, com 66,9 milhões de registros expostos. De 2005 a 2014, houve um aumento de 500% na frequência de violação de dados.
esse número quase dobrou em 3 anos, para 1.579 violações relatadas em 2017.Embora as violações de dados tenham diminuído desde então (1.506 problemas foram relatados em 2019), O Relatório de violação de dados de 2020 da IBM registrou um aumento de 12% nos custos de violação de dados ao longo de 5 anos, aumentando para ~us$3,92 milhões por incidente.
o número crescente de violações e custos associados parece ser consequência de métodos de hacking em constante mudança e um número crescente de pontos de entrada (que vem da digitalização). As auditorias de segurança permitem que as organizações criem muros de segurança mais rígidos, como uma defesa adaptativa contra ameaças de violação de dados.
com isso em mente, a Process Street criou este Artigo como seu guia de auditoria de segurança final, com acesso às nossas listas de verificação e processos de auditoria de segurança gratuitos.
nós estaremos cobrindo:
- o que são auditorias de segurança?
- 4 listas de verificação para auditoria de segurança preventiva, gestão de risco
- auditoria de Segurança melhores práticas
- processos de Segurança para maior segurança segurança
Vamos começar!
o que são auditorias de segurança?
Uma auditoria de segurança é um termo guarda-chuva para as muitas formas como as organizações podem testar e avaliar a sua informação geral de postura de segurança. À medida que as organizações fazem a transição para operar e armazenar informações em um espaço digital, as auditorias de segurança se concentram na eficácia da segurança cibernética de uma organização, revisando de forma abrangente A infraestrutura de TI de uma organização.
uma auditoria de segurança completa avaliará a segurança da configuração física de um sistema e os processos ambientais, de software e de tratamento de informações e as práticas do Usuário. O objetivo é estabelecer conformidade regulatória na sequência de legislação como:
- HIPAA: a Lei de portabilidade e responsabilidade do seguro de saúde estabelece o padrão para proteção de dados confidenciais do paciente. As empresas que lidam com informações de saúde protegidas precisam ter medidas de segurança em vigor para seguir e garantir a conformidade com a HIPAA.
- Sarbanes-Oxley Act: A Lei Sarbanes-Oxley (Lei SOX) é uma lei federal dos EUA que visa proteger os investidores, tornando as divulgações corporativas mais confiáveis e precisas, para proteger os investidores de atividades fraudulentas.Lei de informações de violação de segurança da Califórnia: aprovada em 2003, a Lei de informações de violação de segurança da Califórnia é uma lei estadual californiana que exige que as organizações mantenham informações pessoais sobre indivíduos para informar esses indivíduos se a segurança de suas informações for comprometida.
existem 4 tipos principais de auditorias de segurança a serem consideradas:
- Uma auditoria de conformidade ✅
- Uma avaliação de risco de auditoria 🧐
- Uma avaliação de vulnerabilidade 🛑
- Um teste de penetração 👩💻
neste artigo, vamos olhar para estes tipos de auditoria em mais detalhes e conceder-lhe acesso gratuito à nossa segurança interna de auditoria de listas de verificação, onde relevante, por isso certifique-se de ler!
mas primeiro, devemos esclarecer a diferença entre uma auditoria interna e uma externa.
auditoria Interna vs auditoria externa
Cada auditoria realizada é uma auditoria externa ou auditoria interna.Uma auditoria externa é conduzida por um profissional certificado independente da organização que está sendo auditada. A intenção de realizar uma auditoria externa é reunir os resultados mais imparciais possíveis.
uma auditoria interna é geralmente usada como uma ferramenta de gerenciamento para melhorar os processos e controles internos. As auditorias internas devem ser concluídas de forma independente e objetiva, para garantir a conformidade de uma determinada operação comercial com os padrões estabelecidos pela organização, órgão regulador ou governo.
As principais características de uma auditoria interna são:
- Eles são voluntários.
- eles são conduzidos internamente por um membro da sua empresa/organização.
como gerente de operações, uma auditoria interna será a mais relevante para você e suas equipes. E neste artigo, explicaremos como você pode realizar verificações eficazes de auditoria de segurança interna nos 4 tipos de auditorias de segurança.
uma vez concluída uma auditoria de segurança interna, os resultados devem ser comunicados à alta administração e a um conselho de administração.
4 checklists de auditoria de segurança interna para gerenciamento de risco preventivo
uma checklist de auditoria de segurança é uma ferramenta inestimável para comparar as práticas de uma empresa com os padrões estabelecidos por uma organização, órgão regulador ou governo. Uma lista de verificação de auditoria guiará seu auditor interno pelas etapas mais importantes necessárias para concluir a avaliação de auditoria de segurança interna com precisão e eficiência todas as vezes.
Process Street é uma ferramenta de gerenciamento de processos de negócios que você pode usar para documentar seus processos de negócios em forma de Lista de verificação gratuitamente. E, felizmente, em relação aos principais processos de auditoria de segurança, já fizemos a maior parte do trabalho para você!
” o software de controle de processos de negócios que você está procurando.”- Partner & Integrator at Wetmore Consulting Group Adam Schweickert, Software Advice
nossa equipe na Process Street construiu listas de verificação de auditoria de segurança e listei-as abaixo com seu tipo de auditoria correspondente. Recomendamos o uso de todas as nossas listas de verificação de auditoria de segurança para realizar uma revisão contínua de segurança e garantir que suas operações comerciais estejam sempre à altura. Acesse essas listas de verificação gratuitamente usando sua conta do Process Street.
conformidade: Lista de verificação de auditoria ISO 27001
uma auditoria de segurança de Conformidade examina as Políticas de uma organização, analisa os controles de acesso e garante que todos os regulamentos estejam sendo seguidos para melhorar a segurança.
eles são necessários para qualquer empresa que tenha que cumprir regulamentos específicos do setor. Não fazer isso pode resultar em multas e / ou perda de clientes.
é inegável que muitas empresas veem a Organização Internacional de padronização (ISO) como um distintivo de prestígio. A ISO é o maior conjunto de princípios de negócios reconhecidos do mundo, com participação em mais de 165 estimados órgãos de padrões nacionais. Para inicializar, mais de um milhão de empresas e organizações em mais de 170 países têm alguma forma de certificação ISO.
a série de padrões ISO 27001 é projetada especificamente para proteger informações confidenciais do Usuário, e cumprir esses padrões é um exemplo de auditoria de Conformidade.
você pode ter a tecnologia em vigor (firewalls, backups, antivírus, permissões, etc.) e ainda encontrar violações de dados e problemas operacionais.Isso geralmente ocorre porque o problema de segurança não é com as ferramentas em si, mas com a maneira como as pessoas (ou funcionários) usam essas ferramentas, procedimentos e protocolos de segurança.Os padrões ISO 27001 abordam esse problema exigindo que haja sistemas implementados para identificar riscos e prevenir incidentes de segurança.Execute nossa lista de verificação de auditoria do sistema de gerenciamento de segurança da informação ISO 27001 (ISO27K ISMS) para realizar uma auditoria de segurança de conformidade interna no sistema de gerenciamento de segurança da informação (ISMS) da sua organização em relação aos requisitos da ISO 27001:2013.Clique aqui para acessar nossa lista de verificação de auditoria do sistema de gerenciamento de segurança da informação ISO 27001 (ISO27K ISMS)!
key checklist feature: parar tarefas para criar uma lista de verificação com uma ordem imposta e desativar tarefas até que sejam relevantes. Quando se trata de auditoria de Conformidade, as tarefas Stop atuam como sua medida de controle, garantindo que nenhuma tarefa seja perdida e que as atividades sejam acessadas de acordo com todos os padrões de Conformidade.
leia nossa postagem ISO: tudo o que você precisa saber (Ultimate Guide + modelos gratuitos) para saber mais sobre os padrões ISO e como implementá-los.Avaliação de Risco: as avaliações de risco estão entre os tipos mais comuns de auditorias de segurança. O objetivo de uma avaliação de risco é ajudar as empresas a identificar, estimar e priorizar diferentes tarefas relacionadas aos recursos de segurança da organização. As avaliações de risco de segurança são essenciais para ajudar as empresas a avaliar suas habilidades para responder a tipos específicos de problemas, testando suas medidas de segurança.
para implementar com sucesso uma avaliação de risco de segurança, ajuda a seguir um bom processo. Nossa lista de verificação de processos de gerenciamento de Riscos fornece uma base sólida para você adaptar e refinar uma abordagem de Avaliação e gerenciamento de riscos de segurança para sua organização.
Clique aqui para acessar nosso processo de gerenciamento de riscos!
característica chave da lista de verificação: atribuições de Tarefas permitem que você atribua usuários e grupos a tarefas em suas listas de verificação, efetivamente dando-lhes a responsabilidade por essas tarefas. Isso garante que o membro certo da equipe seja responsável pelas tarefas apropriadas, ajudando a colaboração eficaz da equipe para conduzir sua avaliação de risco.
você pode editar facilmente esta lista de verificação para atender às suas necessidades específicas. Para obter mais informações sobre como fazer isso, assista ao nosso vídeo abaixo.
avaliação de Vulnerabilidade: Rede de Segurança de Auditoria lista de verificação
O objetivo de uma avaliação de vulnerabilidade de segurança de auditoria é identificar falhas de segurança que podem sistematicamente se espalhar por todo o sistema de segurança, e podem estar em perigo de ser explorada.
nossa lista de verificação de auditoria de segurança de rede analisa os riscos humanos e de software em um sistema, especialmente no que diz respeito a onde esses dois riscos se encontram. O objetivo é capturar uma visão geral de todos os riscos presentes nesse sistema.Execute esta lista de verificação de auditoria de segurança de rede para realizar uma auditoria de segurança de avaliação de vulnerabilidades para verificar a eficácia de suas medidas de segurança dentro de sua infraestrutura.
Clique aqui para acessar nossa lista de verificação de auditoria de segurança de rede!
característica chave da lista de verificação: Nosso recurso variáveis permite inserir valores de campos de formulário em outras partes de sua lista de verificação. Variáveis podem ser usadas dentro de widgets de texto e widgets de E-mail para passar informações para a próxima etapa ou pessoa no processo. Em nossa auditoria de segurança de rede, esse recurso compila as principais informações da Auditoria em um e-mail para enviar às partes interessadas relevantes com um clique de um botão.
teste de penetração: lista de verificação de auditoria de Firewall
os testes de penetração são comumente executados por pessoas chamadas hackers éticos. Esses hackers são pagos para tentar obter acesso ao funcionamento interno de uma empresa da mesma maneira que um hacker tradicional. O objetivo de um teste de penetração é identificar as fraquezas do sistema que podem ser exploradas por um verdadeiro hacker, O que resultaria em uma violação de segurança cibernética.
normalmente, os hackers de teste de penetração são especialistas nos métodos de hacking mais recentes, que estão mudando continuamente. Por causa disso, e pelo fato de que existem vários pontos de entrada de hackers em nosso mundo de negócios altamente conectado, não há um processo padrão que estabeleça as bases para o teste de penetração-deixaremos esse para os hackers éticos.
é importante ter seu firewall de segurança atualizado durante um teste de penetração e, para isso, você pode usar nossa lista de verificação de auditoria de Firewall.
seu firewall é um dispositivo de segurança de rede que monitora o tráfego de rede de entrada e saída e decide se o permitir ou bloquear tráfego específico com base em um conjunto definido de regras de segurança. Firewalls atuam como sua primeira linha de defesa contra hackers. Portanto, é essencial garantir que o seu seja de primeira qualidade e seguro durante o teste de penetração.
nossa lista de verificação de auditoria de Firewall foi projetada para fornecer um passo a passo de como verificar se seu firewall é o mais seguro possível.Execute esta lista de verificação de auditoria de Firewall quando iniciar a revisão de um firewall para otimizar sua segurança e desempenho. Identifique vulnerabilidades em suas defesas de segurança, elimine habitualmente a desordem e atualize suas permissões para relevância.
Clique aqui para acessar nossa lista de verificação de auditoria de Firewall!
característica chave da lista de verificação: Aprovações significam que o pessoal relevante pode dar o sinal verde ou rejeição em itens importantes da lista de verificação. Nesse caso, estamos falando de melhorias de firewall acionáveis, a serem revisadas e aprovadas pela alta administração.
a importância de executar uma auditoria de segurança eficaz (com estudos de caso)
as auditorias de segurança atuam como rede de segurança da sua empresa, para evitar violações de informações e os consequentes custos financeiros e éticos. Ao realizar uma auditoria de segurança, uma empresa pode avaliar sua atividade, identificar pontos problemáticos e riscos de segurança e adotar uma abordagem proativa para aumentar a segurança.
em alguns setores (médicos e Financeiros), as auditorias de segurança são uma necessidade por lei. Independentemente de você estar legalmente vinculado ou não, executar uma auditoria de segurança é imperativo para a segurança e o sucesso de uma organização. Conforme detalhado pela Varonis, a realização de uma auditoria de segurança regular será:
- verifique se sua estratégia de segurança é adequada ou não.
- verifique proativamente os esforços de treinamento de segurança para definir se eles melhoram ou não os resultados da auditoria – portanto, a segurança dos negócios – de uma auditoria para a outra.
- reduza os custos de negócios de segurança fechando ou reutilizando hardware e software irrelevantes descobertos durante a auditoria.
- descubra vulnerabilidades introduzidas em sua organização por novas tecnologias ou processos.
- Prove que sua organização está em conformidade com os regulamentos, como: HIPAA, SHIELD, CCPA, GDPR, etc.
o que acontece se seus processos de auditoria de segurança forem inadequados e ineficazes? Usei os seguintes estudos de caso para revelar a verdadeira importância da segurança de negócios aprimorada e otimizada.
estudo de caso: A EasyJet auditoria de segurança violação
Em Maio de 2020, a EasyJet anunciou 2,208 clientes tiveram seus endereços de e-mail, informações de viagem, cartão de crédito, e CVV códigos de segurança exposto. A EasyJet alegou que nenhuma atividade fraudulenta ocorreu, no entanto, uma investigação adicional por fraude de ação relatou 51 casos de atividade fraudulenta foram feitos na violação de segurança da EasyJet.
O Information Commissioner’s Office (ICO) é um escritório regulador independente encarregado de defender os direitos de informação no interesse do público. A ICO emitiu um recorde de multa de US $130 milhões sobre a violação, com pagamentos adicionais de compensação aos clientes. A violação também fez com que a marca sofresse uma reação negativa em relação à sua imagem pública.
estudo de caso: violação de auditoria de segurança do Zoom
à luz da pandemia COVID-19, organizações em todo o mundo foram forçadas a adotar um estilo de trabalho mais remoto. Para ajudar as organizações a fazer isso, Ferramentas de trabalho remoto, como o Zoom, vieram à tona. Essas ferramentas permitem que as organizações continuem a operar de forma eficaz e produtiva, apesar da turbulência nos negócios.
no entanto, até o Zoom teve seu quinhão de problemas.
no início de abril de 2020, quando os funcionários estavam se estabelecendo em seu novo ambiente de trabalho em casa, foi revelado que o aplicativo virtual meeting sofreu uma violação de segurança humilhante.
as credenciais de login para mais de 500.000 usuários foram expostas. As informações foram vendidas na dark web por meio de fóruns de hackers por pouco mais de US $0,01.
os criminosos puderam usar credenciais de login, endereços de E-mail, URLs de reuniões pessoais e Chaves de host para participar de reuniões ou usar as informações coletadas para outros fins maliciosos. Os dados comprometidos dos funcionários (por exemplo, dados compartilhados ilegalmente) podem fazer com que as organizações enfrentem ações judiciais iniciadas pelos funcionários e multas regulatórias na maioria das jurisdições.
a Federal Trade Commission ordenou que a Zoom implementasse um amplo programa de segurança da informação. A organização enfrentará multas de até US $46.280 por cada violação futura sob este Contrato.
práticas recomendadas de auditoria de segurança
então, como você garante que suas auditorias de segurança interna sejam eficazes?
considere as seguintes práticas recomendadas de auditoria de segurança para segurança empresarial otimizada:
- Defina seu escopo de auditoria de segurança 🔒
quais são os ativos de alta prioridade que você digitalizará e monitorará? Faça uma lista dos principais ativos, como dados confidenciais de clientes e empresas, documentação interna e infraestrutura de TI. Em seguida, defina seus parâmetros de segurança; ou seja, quais detalhes sua auditoria cobrirá, quais detalhes serão deixados de fora e por quê? - listar ameaças potenciais 📝
como você pode construir um escudo em torno de uma ameaça não identificada? Nomeie as ameaças à sua organização para entender o que você está procurando. Ameaças comuns de segurança incluem funcionários negligentes, malware e ataques de phishing. Mais detalhes sobre essas ameaças são fornecidos abaixo, juntamente com as listas de verificação associadas para ajudá-lo a resolvê-las. - avalie o nível atual de desempenho de segurança 🥇
você precisa pensar sobre o que está fazendo certo. Onde seus esforços de segurança podem ser melhorados? Sua equipe deve seguir rigorosos procedimentos de segurança e melhores práticas.é aqui que a documentação do processo entra em seu próprio. Ao documentar as melhores práticas de segurança, você pode distribuí-las em sua equipe e garantir que todos os funcionários estejam seguindo as melhores etapas de segurança. Configure sua conta gratuita do Process Street e comece a documentar seus sistemas de segurança.
- configurar varreduras de configuração 🔍
usar um scanner de ponta ajudará você a detectar vulnerabilidades de segurança e avaliar a eficácia das melhorias de segurança do sistema. Pense nos programas de malware / anti-spyware que você pode usar que não está usando. Os programas a serem considerados incluem McAfee Total Protection, Norton e Zone Alarm. Você deve executar verificações de configuração ao fazer sua auditoria de segurança, pois elas ajudam a detectar erros de configuração que as pessoas em sua equipe podem ter cometido. - seja proativo e não reativo 👍
você deseja ficar de olho em todos os relatórios, não apenas em alertas urgentes. Ao fazer isso, você adotará uma abordagem mais proativa à segurança do que reativa. As informações do relatório de segurança podem parecer pouco alarmantes no início, mas com o tempo, grandes ameaças podem surgir. - execute uma verificação de vulnerabilidade interna Opt️♂️
opte por um scanner de vulnerabilidade de nível corporativo, como Intruder.io ou Nessus. Esses scanners instalarão um agente nos computadores da sua organização para monitorar seu nível de vulnerabilidade. Você vai querer executar uma varredura de vulnerabilidade interna em uma base mensal ou trimestral. - Execute testes de phishing Set
Configure uma rotina de envio de E-mails falsos de phishing para pessoas em sua equipe como treinamento efetivo de segurança cibernética. Fazer isso significa que os membros da equipe gest uma experiência próxima da vida real de um ataque de phishing e pode avaliar sua vulnerabilidade a cenários em que eles dariam aos hackers acesso a informações confidenciais. - Monitore seus logs de firewall 🛡️
procure inconsistências ou comportamento incomum em seu firewall.
processos de Segurança para reforçar a segurança da informação
Nós cobrimos o que uma auditoria de segurança é, de auditoria de segurança melhores práticas, os quatro tipos de auditorias de segurança, e quatro de auditoria de segurança de listas de verificação para ajudar você a acção de cada tipo. Mas existem outros processos de segurança que você também deve executar em segundo plano para ajudá-lo a melhorar seus padrões de auditoria de segurança. Vamos dar um mergulho profundo em mais algumas listas de verificação de rua de processos que fortalecerão a segurança da Informação da sua organização.
Enterprise Password Management Checklist Template
pode parecer óbvio, mas se um funcionário usa uma senha fraca para dados confidenciais, isso representa uma ameaça de segurança interna para o seu negócio.
na Process Street, os funcionários têm acesso de autenticação de dois fatores para todas as contas relacionadas para evitar isso. Usamos o LastPass para armazenar e avaliar com segurança a força da senha, além dos códigos de autenticação de dois fatores.
também executamos nosso modelo de Lista de verificação de gerenciamento de senhas corporativas para fortalecer nosso gerenciamento de senhas corporativas.
Clique aqui para acessar nosso modelo de Lista de verificação de gerenciamento de senha Empresarial!
plano de resposta a Incidentes de segurança de TI
Malware ou software malicioso é um termo geral para vírus e outros programas de computador prejudiciais que os hackers usam para obter acesso a informações confidenciais. Ao isolar um aplicativo comprometido, você pode impedir que invasores obtenham acesso a outros sistemas e recursos de rede e, por sua vez, tornando sua tentativa inútil.
na Process Street, usamos nosso plano de resposta a Incidentes de segurança de TI para isolar os sistemas afetados (tarefa 15). Use esta lista de verificação para obter uma resposta enxuta e rápida a incidentes de segurança – incluindo problemas de malware.
Clique aqui para acessar nosso plano de resposta a Incidentes de segurança de TI!
lista de verificação de segurança do servidor de E-mail
os ataques de Phishing são comunicações fraudulentas que parecem vir de fontes respeitáveis. O e-mail costuma ser o principal alvo de um ataque de phishing.
existem muitas etapas que você pode seguir para proteger seu e-mail do ponto de vista técnico. Por exemplo, na Process Street, ativamos SPF, DKIM, DMARC, DNSSEC – informações sobre como você pode fazer o mesmo podem ser encontradas em nossa lista de verificação de segurança do servidor de E-mail.
Clique aqui para acessar nossa lista de verificação de segurança do servidor de E-mail!
modelo de Lista de verificação de auditoria de segurança do WordPress
se você também estiver gerenciando um blog de primeira classe no WordPress, como nós aqui na Process Street, você precisará de um procedimento para manutenção de segurança do WordPress para manter as informações confidenciais da sua empresa privadas.
se suas contas do WordPress não forem gerenciadas de maneira adequada e regular, ele pode deixar seu site vulnerável a invasões e comprometer o estado de sua empresa. Executar uma auditoria de segurança do WordPress permite que você se prepare e evite possíveis ameaças ao seu site.
Clique aqui para acessar nosso modelo de Lista de verificação de auditoria de segurança do WordPress!
modelo de Lista de verificação de segurança da Informação
a segurança da informação é um processo que deve ser priorizado para manter as informações privadas da sua empresa apenas isso, privado. Se as informações confidenciais da sua empresa não estiverem devidamente protegidas, ela poderá ser violada, prejudicando a privacidade e o futuro da sua empresa e funcionários.
execute nosso modelo de Lista de verificação de segurança da Informação sempre que precisar gerenciar a segurança da informação.
Clique aqui para acessar nosso modelo de Lista de verificação de segurança da Informação!
siga os processos para proteger sua organização de ameaças à segurança
se você está gerenciando senhas da empresa ou realizando uma auditoria interna de segurança para atender aos padrões de Conformidade, seguindo processos eficazes, imponha a padronização e forneça controle.
você pode criar processos de segurança otimizados usando sua conta gratuita Process Street. Execute verificações de auditoria de segurança e processos de segurança regulares para a proteção final dos negócios. O que estás à espera?
Inscreva-se no Process Street e comece hoje mesmo!
Para obter mais ajuda com a sua auditoria de processos, confira nossa seguintes recursos:
- Procedimentos de Auditoria: Um Passeio Rápido com 19 (Gratuito) Modelos
- Processo de Auditoria: 5 Passos de Especialistas para Você Começar o Seu Auditoria Direita
- Auditorias Financeiras: Um Guia Rápido com Modelos Grátis
- Auditoria Interna Noções básicas: o Quê, Porquê, e Como Fazê-Las (5 Auditoria de Listas de verificação)
- Auditoria de Conformidade: o Que É, Como Prepará-e Por que Você Deve se importar