Sådan udføres en IT-sikkerhedsaudit – Trin-for-trin vejledning og værktøjer
Der er mange trusler mod it-systemer og hackerangreb er ikke den eneste kilde til potentielle problemer. Du skal også sikre dig mod insidertrusler og utilsigtet tab eller beskadigelse af data. Der er mange aktiviteter, der skal udføres for at sikre en stærk systemsikkerhed.
Du skal præstere periodiske it-sikkerhedsrevisioner for at sikre, at der ikke er huller i din sikkerhedsstrategi. Når du udfører en it-sikkerhedsaudit, bør du metodisk gennemarbejde en tjekliste, fordi ad hoc-tjek simpelthen kan bekræfte de sikkerhedsproblemer, du har tænkt på og håndteret.
Det er de dele af systemsikkerheden, som du overså, der bliver din virksomheds akilleshæl.
Her er vores liste over de fire bedste automatiserede it-sikkerhedsværktøjer:
- SolarWinds Access Rights Manager (GRATIS PRØVE) Styr Active Directory-implementeringer på tværs af organisationen og stram brugeroplysninger.
- Paperrail (GRATIS PRØVE) En omfattende logmanager, der giver adgang til arkiver til revision.
- ManageEngine EventLog Analyzer (GRATIS PRØVE) Et sikkerhedsværktøj, der kan skræddersyes til at vise overholdelse af standarder.
- LogicGate Et cloud-baseret IT-risikovurderingssystem.
Hvad er en it-sikkerhedsrevision?
En revision er en vurdering af systemet. Der er mange niveauer af sikkerhedsrevisioner og forskellige grunde til at udføre en. En revision kan udføres internt med automatiserede værktøjer, andre kan kræve input fra eksterne konsulenter til at identificere og justere arbejdsmetoder, der skaber sikkerhedssvagheder.
Automatiserede it-sikkerhedsrevisioner er også kendt som sårbarhedsvurderinger , mens procedurespørgsmål behandles af Risikostyring . Omkostningerne og afbrydelsen af en ekstern revision kan være afskrækkende, og derfor er det bedre at planlægge disse typer it-sikkerhedsrevisioner sjældnere end automatiske systemscanninger. Installation af standardkompatibel overvågningssoftware udfører automatisk overholdelsesrevisionsopgaver for dig.
Overvågningsværktøjer, der kan tilpasses af standarder overensstemmelse skabeloner påtvinge et sæt arbejdspraksis og udarbejde overholdelsesdokumentation uden menneskelig indgriben. En it-sikkerhedsrevision kan gøres lettere ved at indføre bedste praksis, der er software-håndhævet.
Typer af sikkerhedsrevision
En it-sikkerhedsrevision undersøger systemer og arbejdsmetoder, leder efter svagheder, der kan gøre det muligt for et databrud at opstå, eller leder efter beviser for, at et databrud har fundet sted. Revisorrollen er en professionel stilling, og der er standardorganer, der udsteder certificering til fagfolk, der optager medlemskab af instituttet og går til eksamen for at bevise deres viden. Så der er certificerede informationssystemrevisorer og certificerede internetrevisorer, som er kvalificerede til at udføre it-sikkerhedsrevisioner.
Intern revision
Som navnet antyder, udføres en intern revision af et medlem af organisationen. En intern revision er normalt ledet af bestyrelsen frem for en valgfri øvelse udført af IT-afdelingen. Kravet om revision bør også specificere den standard, der skal opnås.
En intern revision er normalt en sjælden øvelse. Det kan være en systemvurdering, der sikrer, at virksomheden ville bestå en ekstern revision.
IT-sikkerhedsrevisionen er beregnet til identificere problemer at it-afdelingsledere ikke havde bemærket og foreslået potentielle smuthuller, som de ledere ikke havde tænkt på, så de samme ledere er ikke de rigtige til at sætte dagsordenen for revisionen.
Nogle større virksomheder har en intern revisionsafdeling. Kun meget store virksomheder har den mængde og omfang af forretning, der gør dem i stand til at retfærdiggøre at have en kvalificeret IT-specialistrevisor på personalet. Revisionsafdelingen for mindre virksomheder kan ansætte en specialiseret it-sikkerhedskonsulent til at styrke revisionsteamet i løbet af it-sikkerhedsrevisionen.
Ekstern revision
En ekstern revision har mere myndighed end en intern revision. Selvom en ekstern revisor betales af den virksomhed, der revideres, forventes denne revisionsvirksomhed at være uafhængig. Det bør ikke være modtageligt for pres for at fudge resultaterne af revisionen for at sætte it-systemet i et positivt lys.
Drivkraften bag en ekstern revision er normalt et kontraktligt krav eller en juridisk forpligtelse for virksomheden til at bevise, at der ikke er sikkerhedsproblemer i dets it-system. I øjeblikket er hovedformålet med en it-sikkerhedsrevision at bevise overholdelse af en datasikkerhedsstandard, som f.eks HIPAA , PCI-DSS , eller SOX .
Metoder til it-sikkerhedsrevision
De to rammer for IT-sikkerhedsrevision er manuelle revisioner og automatiserede revisioner . I virkeligheden vil ingen it-revision være helt manuel, fordi revisorer er afhængige af værktøjer til at udtrække data fra systemet. På samme måde kan ingen revision være helt automatiseret, fordi et menneske skal indstille parametrene for de automatiserede værktøjer og kontrollere rigtigheden af deres output. Der er dog mere menneskelig involvering i en manuel revision end i en automatiseret revision.
Manuel revision
En manuel revision er tidskrævende og dyr. For at være umagen værd og autoritativ skal de personer, der driver revisionen, være det kvalificerede IT-revisionsprofessionelle , der har høje lønninger.
En professionel revisor har den erfaring, der leder revisionen mod de vigtige faktorer, man skal være opmærksom på, og den uddannelse, der sikrer, at revisionen udføres metodisk og grundigt.
En manuel revision har den fordel at kunne medtage samtaler med nøglemedarbejdere . Den kan vurdere kompetencen hos dem, der driver it-systemet. En manuel revision er også i stand til at dække geografiske forhold, såsom placeringen af centralt it-udstyr og de fysiske sikkerhedsforanstaltninger, som virksomheden træffer.
Gyldigheden af en manuel revision afhænger af kompetencen og omdømmet hos den seniorrevisor, der leder investigatoren, og den tillid, der er investeret i det team, der udfører revisionen.
Automatiseret revision
EN Computerstøttet revisionsteknik (CAAT) er ikke helt automatiseret. Der skal være folk til at kontrollere og verificere gennemførelsen af revisionen og dens resultater. CAAT er dog meget nemmere at udføre end en traditionel manuel revision.
Automatiserede revisioner er mere effektiv når de sættes permanent på plads. Dokumentgrundlaget for en it-sikkerhedsrevision kan opbygges over tid, idet hver transaktion og hændelse kontrolleres, efterhånden som den opstår. Så en automatiseret revision kan udføres trinvist. Når der skal indsendes en revisionsrapport, kan den udtrækkes med det samme.
Løbende revision, implementeret af automatiseret behandling holder også IT-afdelingen på rette vej. Standardskabeloner indbygget i it-systemet forhindrer sjuskede arbejdsgange og gør det mindre sandsynligt, at virksomheden vil fejle enhver revision, som en ekstern myndighed kræver.
Se også: Bedste netværkssikkerhedsrevisionsværktøjer
IT-sikkerhedsstandarder
Mens finansiel revision er påkrævet af skattemyndighederne, er it-sikkerhedsrevisioner normalt drevet af et krav om at overholde en databeskyttelsesstandard – drevet af kontraktlige forpligtelser eller branchekonventioner. De vigtigste standarder, der kræver en revision for overholdelsesbevis, er:
- PCI-DSS – PCI-DSS er et betalingskortbehandlingskrav. En virksomhed vil ikke være i stand til at modtage betalinger fra kunder uden PCI-DSS-akkreditering. PCI-DSS-standarden er ikke interesseret i sikkerheden af en virksomheds hele it-system, kun betalingskortoplysninger og kundepersonoplysninger.
- HIPAA – Denne standard gælder inden for sundhedsindustrien og de virksomheder, der leverer den. Det drejer sig om patienters personlige oplysninger.
- SOX – SOX står for Sarbanes-Oxley Act. Det er en national lovlig standard i USA, der har til formål at forhindre virksomheder i at forfalske rapporter om deres rentabilitet og økonomiske levedygtighed. Selvom denne standard kun gælder for amerikanske virksomheder, skal den også implementeres i alle oversøiske datterselskaber af amerikanske virksomheder.
- GDPR – Denne databeskyttelsesstandard gælder for EU-lande. Dog enhver virksomhed uden for EU, der ønsker at gøre forretning i EU. Det vedrører specifikt sikkerheden af personligt identificerbare oplysninger (PII), der opbevares i digitalt format.
- ISO/IEC 27000 – En familie af standarder produceret af International Organization for Standardization (ISO). Disse standarder er ikke direkte. Det er dog ofte krav, som virksomheder stiller, når de skriver kontrakter med associerede virksomheder, såsom leverandører.
Revisionsfrekvens for it-sikkerhed
I modsætning til finansielle revisioner er der ikke noget offentligt håndhævet overordnet krav til it-sikkerhedsrevisionsfrekvens. Mange af it-sikkerhedsstandarderne omfatter en akkrediteringsfornyelse , som kræver revision. Hvis du søger akkreditering til en af disse standarder, bør du følge revisionskravene i den pågældende standard.
Konventionen med finansielle revisioner og akkreditering af it-sikkerhedsstandarder er at udføre dem årligt, og det er derfor den bedste praksis for it-sikkerhedsrevision.
Proaktiv, automatiseret revision sker løbende . Løbende revision giver al den nødvendige dokumentation, der kræves til en standardrevision. Hvis en ekstern revision påbydes, er et krav til den virksomhed, der revideres, at den skal have alle dens optegnelser tilgængelige til inspektion uden varsel.
En almindelig trigger for en it-sikkerhedsrevision er opdagelsen af et databrud eller et alvorligt cybersikkerhedsangreb. Efter at være kommet sig over angrebet, vil virksomhedens ledere sandsynligvis bede om en it-sikkerhedsrevision for at sikre, at en anden sikkerhedshændelse ikke sker.
Tips til it-sikkerhedsrevision
IT-sikkerhedsrevisioner kan være meget forstyrrende. En manuel revision kræver især, at IT-medarbejdere tager timeout fra deres almindelige aktiviteter for at understøtte revisorernes informationskrav. Forberedelse til en revision kan også være meget tidskrævende, fordi det kræver, at alle relevante optegnelser lokaliseres og gøres tilgængelige i et passende format.
Der er trin, du kan tage for at sikre, at en revision forløber gnidningsløst og med minimal afbrydelse af igangværende IT-afdelings aktiviteter.
- Identificer følsomme data – En standarddrevet it-sikkerhedsrevision vil fokusere på én specifik datapulje, såsom betalingskortdata (til PCI-DSS) eller personlige oplysninger (til HIPAA). Identificer alle datalagerplaceringer for denne type data. Hvor det er muligt, centraliser alle de kritiske datatyper og fokuser sikkerhedsindsatsen der. Hvis centralisering ikke er mulig, skal du sørge for, at der anvendes højsikkerhedsforanstaltninger på alle de steder, hvor disse data er gemt.
- Administrer logfiler – Datastandarder kræver, at alle logfiler er tilgængelige efter anmodning til gennemgang af en ekstern revisor uden varsel. Opbevaringsperioden for dette krav varierer efter standarden. Arkivering er OK, men arkiver bør let gendannes til live tilgængelighed til undersøgelse.
- Styr ressourceadgang – indføre en politik for administration af adgangsrettigheder, der koordinerer adgang til datalag og applikationsfølsomhed. Registrer alle adgangsbegivenheder, så databrud kan undersøges korrekt.
- Håndhæve sikker arbejdspraksis – Brug adgangskodeskabe og legitimationsdistributionssystemer, der udelukker nødvendigheden af at sende loginoplysninger via e-mail eller skrevet på stykker papir. Sørg for, at alle aktiviteter udføres inden for rammerne af it-systemet, så de automatisk kan logges og spores.
Sørg for at vide præcis hvilken datastandard du forventes at overholde, og hvilke data eller transaktioner den standard vedrører. Fjern manuelle processer, hvor det er muligt, og log alle aktiviteter i it-systemet.
Tjekliste til it-sikkerhedsrevision
Let revisionsprocessen ved at sikre, at din it-afdeling er parat til at understøtte eventuelle revisionskrav med et øjebliks varsel.
- Angiv den revisionsstandard, som du skal overholde.
- Identificer de ressourcer, som revisionen vil undersøge.
- Tildel systemsikkerhedsansvar til nøglepersoner for forskellige systemattributter.
- Træn datasikkerhedsansvarlige, så de er fuldt ud bevidste om deres ansvar.
- Liste over aktuelle systemsikkerhedssoftware: f.eks. firewalls, AV, SIEM-værktøjer osv.
- Kontroller, at al software og operativsystemer er fuldt patchede og opdaterede til de nyeste versioner.
- Tjek log arkiver er tilgængelige for søgning.
- Opret et sæt sikkerhedspolitikker og dokumentér dem, hold dem i en bestemt mappe, enten digitalt eller på papir.
- Udfør regelmæssige systemsårbarhedssweeps.
- Stram den fysiske adgang til servere, dokumentpersonalets sikkerhedsadgangsniveauer.
- Implementer centraliseret autentificeringskontrol.
- Gennemtving adgangskodestyrke, 2FA og adgangskoderotation på alle brugerkonti.
- Fjern inaktive konti.
- Implementer perifere enhedskontroller og omvendt firewalls for at forhindre tab af data.
- Håndhæv kryptering af alle datatransmissioner.
- Implementer automatiske sikkerhedsscanninger og aktivitetslogning.
Når et eksternt revisionsteam ankommer, vil ovenstående trin sikre, at de kan udføre en omfattende sikkerhedsrevision, uden at dine it-medarbejdere skal stoppe deres almindelige arbejde.
De bedste automatiserede IT-sikkerhedsrevisionsværktøjer
Implementer systemer, der kontrollerer aktiviteter for at blokere usikrede arbejdsmetoder og trinvist kompilere revisionsdokumentation. Disse værktøjer sørger for, at du er det konstant kompatibel med datasikkerhedsstandarder og kunne nemt bestå enhver flash-revision.
Vores metode til at vælge et IT-sikkerhedsovervågningsværktøj
Vi har gennemgået markedet for sikkerhedsovervågningssystemer og analyseret værktøjer ud fra følgende kriterier:
- Vurdering af adgangsrettighedsstyringsdata
- Logindsamling og sammenhæng
- Vurdering skræddersyet til databeskyttelsesstandarder
- Automatiserede vurderingsværktøjer
- Formaterede skabeloner til overholdelsesrapportering
- En gratis prøveperiode eller en demopakke, der giver mulighed for en gratis vurdering
- Værdi for pengene fra et revisionsværktøj, der sparer tid og tilbydes til en rimelig pris
Med disse udvælgelseskriterier i tankerne har vi identificeret en række værktøjer, som du bør overveje for at understøtte dine IT-systemrevisionskrav.
1. SolarWinds Access Rights Manager (GRATIS PRØVE)
SolarWinds Access Rights Managerblev oprettet med procedurer for overholdelse af standarder, så det er et valideret værktøj til at overholde GDPR , PCI-DSS , HIPAA plus andre datasikkerhedsstandarder. Revisionsrapporter er indbygget i Access Rights Manager, hvilket gør både interne og eksterne revisioner hurtigere og nemmere at gennemføre.
Nøglefunktioner:
- Brugerkontostyring
- Oprydning af konto
- Fungerer på Active Directory
- Overholdelse af PCI-DSS, HIPAA og GDPR
- Selvbetjeningsportal for brugere
Denne software installeres på Windows Server og det er opmærksom på Active Directory implementeringer, centralisering af kontostyring på tværs af websteder og applikationer. Det inkluderer kontoanalysefunktioner, der gør det muligt for dig at identificere usikre og inaktive konti. Det omfatter også en selvbetjeningsportal for at gøre det muligt for brugere at opdatere deres egne konti, og det kan håndhæve politikker for adgangskodestyrke og fornyelse. Du kan få en 30-dages gratis prøveversion af SolarWinds Access Rights Manager.
Fordele:
- Giver et klart indblik i tilladelser og filstrukturer gennem automatisk kortlægning og visualiseringer
- Forudkonfigurerede rapporter gør det nemt at demonstrere overholdelse
- Eventuelle overholdelsesproblemer er skitseret efter scanningen og parret med afhjælpningshandlinger
- Sysadmins kan tilpasse adgangsrettigheder og kontrol i Windows og andre applikationer
Ulemper:
- SolarWinds Access Rights Manager er en dybdegående platform designet til sysadmin, som kan tage tid at lære fuldt ud
SolarWinds Access Rights Manager Start 30-dages GRATIS prøveperiode
to. Paperrail (GRATIS PRØVE)
Paperrailer en skybaseret logstyringstjeneste der har fantastiske datatilgængelighedsstyringsfunktioner. Logmeddelelser bliver uploadet til Papertrail-serveren af agenter, der er installeret på stedet. Logfilserveren kategoriserer, konsoliderer og gemmer logmeddelelser i et standardiseret format, så den kan håndtere alle typer logmeddelelser inklusive dem, der genereres af Windows-begivenheder og Syslog . Logmeddelelser er tilgængelige via en logfilfremviser til søgning, sortering og analyse.
Nøglefunktioner:
- Cloud-baseret
- Samler og konsoliderer Windows Events og Syslog
- Logarkivering og genoplivning
Papertrail har en meget nyttig arkivering mekanisme, der kan bringe filer tilbage til live-sfæren til undersøgelse. Dette er en meget vigtig funktion, der kræves af datastandardrevisorer og gør dette til et nyttigt automatiseret IT-sikkerhedsrevisionsværktøj.
Fordele:
- Den cloud-hostede tjeneste hjælper med at skalere logindsamling uden at investere i ny infrastruktur
- Krypterer data både under transport og i hvile
- Sikkerhedskopiering og arkivering sker automatisk og er en del af tjenesten
- Bruger både signaturbaseret og anomalidetektion for den mest grundige overvågning som muligt
- Indeholder en gratis version
Ulemper:
- Der skal investeres tid for fuldt ud at udforske alle funktioner og muligheder
Papertrails databehandlingskapacitet, livetilgængelighedsperiode og lagerkapacitet afhænger af, hvilket af seks abonnementer du vælger. Der er en gratis version der behandler 50 MB data om måneden.
Papertrail gratis version<50GB/month
3. ManageEngine EventLog Analyzer (GRATIS PRØVE)
ManageEngine EventLog Analyzer giver omfattende logstyringsrutiner. Den indsamler og konsoliderer logmeddelelser og indekserer og arkiverer dem derefter. Logfiler oprettes i en meningsfuld mappestruktur, hvilket gør dem nemme at få adgang til til analyse. Systemet indeholder også analysefunktioner for at gøre hændelsesvurdering nemmere.
Nøglefunktioner:
- Logopsamler og konsolidator
- Windows Events, Syslog og applikationslogfiler
- PCI-DSS, GDPR, SOX, HIPAA og ISO 27001 klage
- Skabeloner til overholdelse af rapportering
ManageEngine designede EventLog Analyzer med databeskyttelsesstandarder i tankerne. Det har skabeloner, der tilpasser systemet, så det håndhæver og understøtter compliance til PCI-DSS , HIPAA , GDPR , SOX , ISO 27001, og andre standarder.
Fordele:
- Brugerdefinerbare dashboards, der fungerer godt til netværksdriftscentre
- Flere advarselskanaler sikrer, at teams får besked på tværs af SMS, e-mail eller app-integration
- Bruger anomalidetektion til at hjælpe teknikere i deres daglige drift
- Understøtter overvågning af filers integritet, der kan fungere som et tidligt advarselssystem for problemer med ransomware, datatyveri og adgangstilladelse.
- Revisionsfunktioner for retsmedicinske logfiler gør det muligt for administratorer at oprette rapporter til retssager eller undersøgelser.
Ulemper:
- Bedre egnet til kontinuerlig overvågning af engangsrevisioner
Softwaren til EventLog Analyzer installeres på Windows Server og Linux . Du kan få det på en30 dages gratis prøveperiode.
ManageEngine EventLog Analyzer Start 30-dages GRATIS prøveperiode
Fire. LogicGate
LogicGate er et cloud-baseret værktøj til styring, risikostyring og overholdelse (GRC). Blandt LogGates tjenester er et IT-sikkerhedsrisikovurderingssystem, der kan skræddersyes til specifikke datastandarder, som f.eks. GDPR , PCI-DSS , og SOX .
Nøglefunktioner:
- Cloud-baseret
- Overholdelse af GDPR, PCI-DSS og SOX
- Risikovurdering
Denne service skaber en risikoramme, der er skræddersyet til din branche og de standarder, som du skal overholde. LogicGate kan også producere Retningslinjer for it-sikkerhedsrevision , som er nyttige til et præ-vurderingstjek samt et værktøj for dem, der udfører selve revisionen.
Fordele:
- Understøtter GDPR samt andre populære overholdelsesstandarder
- Indeholder en kundeportal, hvor tredjeparter kan fremsætte dataanmodninger på en sikker og reviderbar måde
- Automatiserede advarsler kan holde teams informeret om overholdelsesproblemer såvel som brud
- Sysadmin kan bygge deres egne aktivbeholdninger og anvende tilpassede tilladelser baseret på deres behov
Ulemper:
- Prisen er ikke gennemsigtig
- Skal kontakte salgsafdelingen for en demo, ingen gratis download