läsare, jag släpper in dig på en liten hemlighet …
mellan dig och mig blev jag hackad; av min bästa vän inte mindre! Tack och lov var det bara en irriterande prank, men det tjänade till att lära mig en lektion.
trots min grandiösa tro på att jag visste allt jag behövde veta om allt digitalt, hade jag inte den svagaste tanken på hur man kunde upptäcka ett bedrägligt meddelande från en legitim. Och denna typ av hot är en av de största riskerna företag står inför idag.
i 2005 rapporterades 157 dataöverträdelser i USA, med 66.9 miljoner poster exponerade. Från 2005-2014 ökade frekvensen av dataöverträdelser med 500%.
det antalet fördubblades nästan i 3 år till 1,579 rapporterade överträdelser i 2017.
även om dataöverträdelser sedan dess har minskat (1 506 problem rapporterades 2019), lämnade IBMs 2020-Dataöverträdelserapport en 12% ökning av dataöverträdelsekostnader under 5 år och ökade till ~3,92 miljoner dollar per incident.
det växande antalet överträdelser och tillhörande kostnader verkar vara en följd av ständigt förändrade hackningsmetoder och ett växande antal ingångspunkter (som kommer från digitalisering).
säkerhetsrevisioner gör det möjligt för organisationer att skapa hårdare säkerhetsväggar, som ett adaptivt försvar mot hot mot dataintrång.
med detta i åtanke skapade Process Street den här artikeln som din ultimata säkerhetsrevisionsguide, med tillgång till våra gratis checklistor och processer för säkerhetsrevision.
vi kommer att täcka:
- vad är säkerhetsrevisioner?
- 4 checklistor för säkerhetsrevision för förebyggande riskhantering
- bästa praxis för säkerhetsrevision
- säkerhetsprocesser för strängare säkerhetssäkerhet
Låt oss komma igång!
vad är säkerhetsrevisioner?
en säkerhetsrevision är ett paraplybegrepp för de många sätt som organisationer kan testa och bedöma deras övergripande informationssäkerhetsställning.
när organisationer övergår till drift och lagring av information i ett digitalt utrymme fokuserar säkerhetsrevisioner på effektiviteten i en organisations cybersäkerhet genom att omfattande granska en organisations IT-infrastruktur.
en grundlig säkerhetsgranskning kommer att utvärdera säkerheten för ett systems fysiska konfiguration och miljö, programvara och informationshanteringsprocesser och användarpraxis. Målet är att upprätta regelefterlevnad i kölvattnet av lagstiftning som:
- HIPAA: Health Insurance Portability and Accountability Act sätter standarden för känsliga patientdataskydd. Företag som hanterar skyddad hälsoinformation måste ha säkerhetsåtgärder för att följa och säkerställa HIPAA-efterlevnad.
- Sarbanes-Oxley Act: Sarbanes-Oxley Act (SOX Act) är en amerikansk federal lag som syftar till att skydda investerare genom att göra företagsupplysningar mer tillförlitliga och korrekta, för att skydda investerare från bedrägliga aktiviteter.
- California Security Breach Information Act: godkänd i 2003 är California Security Breach Information Act en kalifornisk statlig lag som kräver att organisationer behåller personlig information om individer för att informera dessa individer om säkerheten för deras information äventyras.
det finns 4 huvudtyper av säkerhetsrevisioner att överväga:
- en compliance audit
- en risk assessment audit
- en vulnerability assessment
- ett penetrationstest 👩💻
senare i den här artikeln kommer vi att titta på dessa revisionstyper mer detaljerat och ge dig fri tillgång till våra Checklistor för intern säkerhetsrevision där det är relevant, så se till att fortsätta läsa!
men först måste vi klargöra skillnaden mellan en intern och en extern revision.
internrevision vs externrevision
varje revision som utförs är antingen en extern revision eller en internrevision.
en extern revision utförs av en certifierad professionell oberoende av den organisation som granskas. Avsikten med en extern revision är att samla så opartiska resultat som möjligt.
en internrevision används vanligtvis som ett hanteringsverktyg för att förbättra interna processer och kontroller. Interna revisioner ska genomföras oberoende och objektivt för att säkerställa att en viss affärsverksamhet överensstämmer med standarder som fastställts av organisationen, tillsynsorganet eller regeringen.
huvuddragen i en internrevision är:
- de är frivilliga.
- de utförs internt av en medlem i ditt företag/organisation.
som verksamhetschef är en internrevision den mest relevanta för dig och dina team. Och i den här artikeln kommer vi att förklara hur du kan genomföra effektiva interna säkerhetskontroller över de 4 typerna av säkerhetsrevisioner.
när en intern säkerhetsrevision har slutförts ska resultaten kommuniceras till ledande befattningshavare och en styrelse.
4 checklistor för intern säkerhetsrevision för förebyggande riskhantering
en checklista för säkerhetsrevision är ett ovärderligt verktyg för att jämföra ett företags praxis med de standarder som fastställts av en organisation, tillsynsorgan eller regering. En revisionschecklista kommer att gå din internrevisor genom de viktigaste stegen som behövs för att slutföra revisionsbedömningen för intern säkerhet exakt och effektivt varje gång.
Process Street är ett verktyg för hantering av affärsprocesser som du kan använda för att dokumentera dina affärsprocesser i checklista form gratis. Och lyckligtvis, när det gäller viktiga säkerhetsrevisionsprocesser, har vi redan gjort det mesta av arbetet för dig!
” den Affärsprocessstyrningsprogramvara du har letat efter.”- Partner & Integrator på Wetmore Consulting Group Adam Schweickert, Software Advice
vårt team på Process Street har byggt checklistor för säkerhetsgranskning och jag har listat dem nedan med motsvarande revisionstyp. Vi rekommenderar att du använder alla våra Checklistor för säkerhetsgranskning för att genomföra en kontinuerlig säkerhetsgranskning och se till att din affärsverksamhet alltid är i nivå. Få tillgång till dessa checklistor gratis med ditt Process Street-konto.
överensstämmelse: ISO 27001 Revisionschecklista
en säkerhetsgranskning av efterlevnad granskar en organisations policyer, tittar på åtkomstkontroller och säkerställer att alla regler följs för att förbättra säkerheten.
de är nödvändiga för alla företag som måste följa specifika regler i branschen. Att inte göra detta kan leda till böter och/eller förlust av kunder.
det är obestridligt att många företag ser International Organization for Standardization (ISO) som ett märke av prestige. ISO är världens största uppsättning erkända affärsprinciper, med medlemskap i över 165 uppskattade nationella standardiseringsorgan. För att starta upp har över en miljon företag och organisationer i över 170 länder någon form av ISO-certifiering.
ISO 27001-serien av standarder är speciellt utformade för att skydda känslig användarinformation, och att följa dessa standarder är ett exempel på en efterlevnadsgranskning.
du kan ha tekniken på plats (brandväggar, säkerhetskopior, antivirus, behörigheter etc.) och fortfarande stöter på dataintrång och operativa frågor.
detta beror ofta på att säkerhetsproblemet inte är med verktygen i sig, utan med hur människor (eller anställda) använder dessa säkerhetsverktyg, procedurer och protokoll.
ISO 27001-standarder löser problemet genom att kräva att det finns system för att identifiera risker och förhindra säkerhetsincidenter.
kör vår ISO 27001 Information Security Management System (ISO27K ISMS) Revisionschecklista för att utföra en intern säkerhetsgranskning av din organisations information security management system (isms) mot ISO 27001:2013-kraven.
Klicka här för att komma åt vår ISO 27001 Information Security Management System (ISO27K ISMS) Revisionschecklista!
Key checklist feature: stoppa uppgifter för att skapa en checklista med en påtvingad ordning och inaktivera uppgifter tills de är relevanta. När det gäller efterlevnadsgranskning fungerar Stop Tasks som din kontrollåtgärd, så att inga uppgifter missas och aktiviteter nås mot alla efterlevnadsstandarder.
läs vår ISO: allt du behöver veta (Ultimate Guide + Gratis mallar) för att lära dig mer om ISO-standarder och hur du implementerar dem.
riskbedömning: riskhanteringsprocess
riskbedömningar är bland de vanligaste typerna av säkerhetsrevisioner. Målet med en riskbedömning är att hjälpa företag att identifiera, uppskatta och prioritera olika uppgifter relaterade till organisationens säkerhetsfunktioner. Säkerhetsriskbedömningar är viktiga för att hjälpa företag att utvärdera sina förmågor att svara på specifika typer av problem genom att testa sina säkerhetsåtgärder.
för att framgångsrikt genomföra en säkerhetsriskbedömning hjälper det att följa en bra process. Vår checklista för riskhanteringsprocesser ger ett fast fotfäste för dig att anpassa och förfina en säkerhetsriskbedömning och hanteringsmetod för din organisation.
Klicka här för att komma åt vår riskhanteringsprocess!
Key checklist feature: uppgiftstilldelningar gör att du kan tilldela användare och grupper till uppgifter i dina checklistor, vilket effektivt ger dem ansvar för dessa uppgifter. Detta säkerställer att rätt teammedlem är ansvarig för lämpliga uppgifter, vilket hjälper effektivt teamsamarbete för att genomföra din riskbedömning.
du kan enkelt redigera den här checklistan för att passa dina specifika behov. För mer information om hur du gör detta, se vår video nedan.
sårbarhetsbedömning: checklista för Nätverkssäkerhetsgranskning
målet med en säkerhetsgranskning för sårbarhetsbedömning är att identifiera säkerhetsbrister som systematiskt kan spridas över hela säkerhetssystemet och kan vara i fara att utnyttjas.
vår checklista för granskning av nätverkssäkerhet tittar på både mänskliga och programvarurisker i ett system, särskilt när det gäller var dessa två risker möts. Syftet är att få en översikt över alla risker som finns i det systemet.
kör den här checklistan för Nätverkssäkerhetsgranskning för att genomföra en säkerhetsgranskning för sårbarhetsbedömning för att kontrollera effektiviteten av dina säkerhetsåtgärder inom din Infrastruktur.
Klicka här för att komma åt vår checklista för granskning av nätverkssäkerhet!
viktig checklista funktion: Med funktionen variabler kan du infoga värden från formulärfält i andra delar av din checklista. Variabler kan användas i textwidgets och e-postwidgets för att skicka information till nästa steg eller person i processen. I vår Nätverkssäkerhetsgranskning sammanställer den här funktionen viktig information från granskningen till ett e-postmeddelande för att skicka till relevanta intressenter med ett klick på en knapp.
penetrationstest: Brandväggsrevisionschecklista
penetrationstester drivs vanligtvis av personer som kallas etiska hackare. Dessa hackare betalas för att försöka få tillgång till ett företags interna arbete på samma sätt som en traditionell hackare. Målet med ett penetrationstest är att identifiera systembrister som kan utnyttjas av en sann hackare, vilket skulle resultera i ett cybersäkerhetsbrott.
vanligtvis är penetrationstesthackare experter på de senaste hackningsmetoderna, som ständigt förändras. På grund av detta, och det faktum att det finns flera hacker-ingångspunkter i vår mycket anslutna affärsvärld, finns det ingen standard go – to-process som lägger grunden för penetrationstestning-vi lämnar den till de etiska hackarna.
det är viktigt att ha din säkerhetsbrandvägg upp till grunden under ett penetrationstest, och för det kan du använda vår checklista för Brandväggsgranskning.
din brandvägg är en nätverkssäkerhetsenhet som övervakar inkommande och utgående nätverkstrafik och bestämmer om Tillåt eller blockera specifik trafik baserat på en definierad uppsättning säkerhetsregler. Brandväggar fungerar som din första försvarslinje mot hackare. Det är därför viktigt att se till att din är förstklassig och säker under penetrationstestet.
vår checklista för Brandväggsgranskning är konstruerad för att ge en steg-för-steg genomgång av hur du kontrollerar att din brandvägg är så säker som den kan vara.
kör den här checklistan för Brandväggsgranskning när du börjar granska en brandvägg för att optimera dess säkerhet och prestanda. Identifiera sårbarheter i ditt säkerhetsförsvar, rensa vanligtvis bort röran och uppdatera dina behörigheter för relevans.
Klicka här för att komma åt vår checklista för Brandväggsgranskning!
Key checklist feature: godkännanden innebär att relevant personal kan ge klartecken eller avslag på viktiga checklista objekt. I det här fallet talar vi om handlingsbara brandväggsförbättringar, som ska granskas och godkännas av ledande befattningshavare.
vikten av att driva en effektiv säkerhetsrevision (med fallstudier)
säkerhetsrevisioner fungerar som ditt företags säkerhetsnät för att förhindra informationsbrott och därmed ekonomiska och etiska kostnader. När en säkerhetsrevision genomförs kan ett företag bedöma sin verksamhet, identifiera säkerhetsproblem och risker och ta ett proaktivt tillvägagångssätt för ökad säkerhet.
i vissa branscher (medicinska och finansiella) är säkerhetsrevisioner en nödvändighet enligt lag. Oavsett om du är juridiskt bunden eller inte, kör en säkerhetsrevision är absolut nödvändigt för en organisations säkerhet och framgång. Som beskrivs av Varonis, genomföra en regelbunden säkerhetsrevision kommer:
- kontrollera om din säkerhetsstrategi är tillräcklig eller inte.
- kontrollera proaktivt säkerhetsutbildningsinsatser för att definiera huruvida de förbättrar revisionsresultaten – därmed affärssäkerhet – från en revision till nästa.
- minska säkerhetskostnaderna genom att stänga av eller återanvända irrelevant hårdvara och programvara som upptäckts under revisionen.
- Upptäck sårbarheter som introduceras i din organisation med ny teknik eller processer.
- bevisa att din organisation överensstämmer med regler, till exempel: HIPAA, SHIELD, CCPA, GDPR, etc.
vad händer om dina säkerhetsrevisionsprocesser är otillräckliga och ineffektiva? Jag har använt följande fallstudier för att avslöja den verkliga vikten av förbättrad och optimerad affärssäkerhet.
fallstudie: EasyJet säkerhetsrevisionsbrott
i maj 2020 meddelade EasyJet att 2 208 kunder hade sina e-postadresser, reseinformation, kreditkortsuppgifter och CVV-säkerhetskoder exponerade. EasyJet hävdade att ingen bedräglig verksamhet ägde rum, men ytterligare utredning av Action Fraud rapporterade 51 fall av bedräglig verksamhet gjordes i EasyJet-säkerhetsbrottet.
Information Commissioner ’ s Office (ICO) är ett oberoende tillsynsmyndighet som ansvarar för att upprätthålla informationsrättigheter i allmänhetens intresse. ICO utfärdade en rekord på $130 miljoner böter över överträdelsen, med ytterligare kompensationsutbetalningar till kunder. Överträdelsen fick också varumärket att drabbas av en negativ motreaktion angående sin offentliga image.
fallstudie: Zoom säkerhetsrevisionsbrott
mot bakgrund av COVID-19-pandemin har organisationer över hela världen tvingats anta en mer avlägsen arbetsstil. För att hjälpa organisationer att göra detta har fjärrarbetsverktyg, som Zoom, kommit i framkant. Dessa verktyg gör det möjligt för organisationer att fortsätta att fungera effektivt och produktivt trots affärsturbulensen.
ännu, även Zoom har haft sin beskärda del av problem.
i början av April 2020, när anställda bosatte sig i sin nya arbetsmiljö, avslöjades att virtual meeting-appen drabbades av ett förödmjukande säkerhetsbrott.
inloggningsuppgifterna för över 500 000 användare exponerades. Informationen såldes sedan på den mörka webben via hackerforum för lite som $ 0.01.
brottslingar kunde använda inloggningsuppgifter, e-postadresser, personliga mötesadresser och värdnycklar för att gå med i möten eller använda den skördade informationen för andra skadliga ändamål.
komprometterade anställdas data (t.ex. olagligt delade data) kan få organisationer att möta anställdas initierade rättegångar och lagstadgade böter i de flesta jurisdiktioner.
Federal Trade Commission beordrade Zoom att genomföra ett brett informationssäkerhetsprogram. Organisationen kommer att få böter på upp till $46,280 för varje framtida överträdelse enligt detta avtal.
säkerhetsrevision bästa praxis
så, hur ser du till att dina interna säkerhetsrevisioner är effektiva?
Tänk på följande bästa praxis för säkerhetsgranskning för optimerad affärssäkerhet:
- Ställ in ditt säkerhetsrevisionsomfång
vilka är de högprioriterade tillgångarna som du ska skanna och övervaka? Gör en lista över viktiga tillgångar som känslig kund-och företagsdata, intern dokumentation och IT-infrastruktur. Ställ sedan in dina säkerhetsparametrar; det vill säga vilka detaljer kommer din revision att täcka, vilka detaljer kommer att utelämnas och varför? - lista potentiella hot Macau
Hur kan du bygga en sköld runt ett oidentifierat hot? Namnge hoten mot din organisation för att förstå vad det är du letar efter. Vanliga säkerhetshot inkluderar försumliga anställda, skadlig kod och phishing-attacker. Ytterligare detaljer om dessa hot ges nedan, tillsammans med tillhörande checklistor för att hjälpa dig att lösa dem. - Bedöm den nuvarande nivån på säkerhetsprestanda IXB
du måste tänka på vad du gör rätt. Var kan dina säkerhetsinsatser förbättras? Ditt team bör hålla sig till rigorösa säkerhetsförfaranden och bästa praxis.det är här processdokumentationen kommer till sin rätt. Genom att dokumentera bästa säkerhetspraxis kan du distribuera dessa över ditt team och se till att alla anställda följer de bästa säkerhetsstegen. Ställ in ditt gratis Process Street-konto och börja dokumentera dina säkerhetssystem.
- Ställ in konfigurationsskanningar i Brasilien
med hjälp av en avancerad skanner hjälper du dig att upptäcka säkerhetsproblem och bedöma effektiviteten av systemsäkerhetsförbättringar. Tänk på malware / anti-spyware-program som du kan använda som du inte använder. Program att överväga att använda inkluderar McAfee Total Protection, Norton och Zone Alarm. Du bör köra konfigurationsskanningar när du gör din säkerhetsgranskning, eftersom de hjälper dig att upptäcka konfigurationsfel som personer i ditt team kan ha gjort. - var proaktiv och inte reaktiv Macau
du vill hålla ett öga på alla rapporter, inte bara brådskande varningar. På så sätt antar du en mer proaktiv inställning till säkerhet snarare än en reaktiv. Säkerhetsrapportinformation kan se unalarming först, men med tiden kan stora hot dyka upp. - utför en intern sårbarhetssökning i Brasilien
välj en sårbarhetsscanner på företagsnivå som Intruder.io eller Nessus. Dessa skannrar installerar en agent på organisationens datorer för att övervaka deras sårbarhetsnivå. Du vill köra en intern sårbarhetsskanning varje månad eller kvartalsvis. - kör phishing-tester på nätet
Ställ in en rutin för att skicka ut falska phishing-e-postmeddelanden till personer i ditt team som effektiv utbildning i cybersäkerhet. Att göra detta kommer att innebära att teammedlemmarna får en nära verklig upplevelse av en phishing-attack och kan bedöma deras sårbarhet för scenarier där de skulle ge hackare tillgång till känslig information. - övervaka dina brandväggsloggar ~ ~ pos = headcomp
leta efter inkonsekvenser eller ovanligt beteende i din brandvägg.
säkerhetsprocesser för att stärka informationssäkerheten
vi har täckt vad en säkerhetsrevision är, bästa praxis för säkerhetsrevision, de fyra typerna av säkerhetsrevisioner och tillhandahållit fyra checklistor för säkerhetsrevision för att hjälpa dig att agera varje typ. Men det finns andra säkerhetsprocesser som du också bör köra i bakgrunden för att hjälpa dig att förbättra dina säkerhetsrevisionsstandarder.
Låt oss ta en djupdykning i några fler Process Street checklistor som kommer att stärka organisationens informationssäkerhet.
Enterprise Password Management Checklist Template
det kan tyckas självklart, men om en anställd använder ett svagt lösenord för känslig data utgör detta ett internt säkerhetshot mot ditt företag.
på Process Street har anställda tvåfaktorsautentiseringsåtkomst för alla relaterade konton för att undvika detta. Vi använder LastPass för att säkert lagra och bedöma lösenordsstyrka, förutom tvåfaktorsautentiseringskoder.
vi kör också vår checklista för Enterprise Password Management för att stärka vår Enterprise password management.
Klicka här för att komma åt vår Enterprise Password Management checklista Mall!
IT-säkerhet Incident Response Plan
Malware eller skadlig programvara är en filt term för virus och andra skadliga datorprogram hackare använder för att få tillgång till känslig information. Genom att isolera en komprometterad applikation kan du förhindra att angripare får tillgång till andra system och nätverksresurser, och i sin tur gör deras försök värdelöst.
på Process Street använder vi vår IT Security Incident Response Plan för att isolera berörda system (uppgift 15). Använd denna checklista för en mager och snabb säkerhet incident svar – inklusive malware frågor.
Klicka här för att komma åt vår IT Security Incident Response Plan!
checklista för e-Postserversäkerhet
Phishing-attacker är bedräglig kommunikation som verkar komma från välrenommerade källor. E-post är ofta det primära målet för en phishing-attack.
det finns många steg du kan vidta för att säkra din e-post från en teknisk synvinkel. Till exempel på Process Street aktiverar vi SPF, DKIM, DMARC, DNSSEC – information om hur du kan göra detsamma finns i vår checklista för e-Postserversäkerhet.
Klicka här för att komma åt vår checklista för e-postserversäkerhet!
WordPress Security Audit Checklist Template
om du också hanterar en förstklassig blogg i WordPress, som vi här på Process Street, behöver du en procedur för WordPress security maintenance för att hålla ditt företags känsliga information privat.
om dina WordPress-konton inte hanteras korrekt och regelbundet kan det lämna din webbplats sårbar för inbrott och äventyra ditt företags tillstånd. Genom att köra en WordPress – säkerhetsrevision kan du förbereda dig för och undvika eventuella hot mot din webbplats.
Klicka här för att komma åt vår WordPress Security Audit Checklist Mall!
Informationssäkerhetschecklistemall
informationssäkerhet är en process som bör prioriteras för att hålla ditt företags privata information just det, privat. Om ditt företags känsliga information inte är ordentligt skyddad löper den risken att bli kränkt, vilket skadar ditt företags och anställdas integritet och framtid.
kör vår checklista för informationssäkerhet när du behöver hantera informationssäkerhet.
Klicka här för att komma åt vår checklista för informationssäkerhet Mall!
följ processer för att skydda din organisation från säkerhetshot
oavsett om du hanterar företagslösenord eller genomför en intern säkerhetsrevision för att uppfylla efterlevnadsstandarder, följer effektiva processer standardisering och ger dig kontroll.
du kan skapa optimerade säkerhetsprocesser med ditt gratis Process Street-konto. Kör säkerhetskontroller och regelbundna säkerhetsprocesser för ultimat affärsskydd. Vad väntar du på?
registrera dig för att bearbeta Street och komma igång idag!
för ytterligare hjälp med dina granskningsprocesser, kolla in våra följande resurser:
- revisionsförfaranden: en snabb rundtur med 19 (Gratis) mallar
- revisionsprocess: 5 Expertsteg för att du ska få din revision rätt
- finansiella revisioner: en snabbguide med gratis mallar
- Internrevisionsgrunder: vad, varför och hur man gör dem (5 Revisionschecklistor)
- Compliance Audit: vad det är, hur man förbereder och varför du bör bry dig