Cum se efectuează un audit de securitate IT – Ghid și instrumente pas cu pas
Există multe amenințări la adresa sistemelor IT iar atacurile hackerilor nu sunt singura sursă de probleme potențiale. De asemenea, trebuie să vă asigurați împotriva amenințărilor interne și a pierderii sau deteriorarii accidentale a datelor. Există multe activități care trebuie efectuate pentru a asigura o securitate puternică a sistemului.
Trebuie să faci performanță audituri periodice de securitate IT pentru a vă asigura că nu există lacune în strategia dvs. de securitate. Atunci când efectuați un audit de securitate IT, ar trebui să lucrați metodic printr-o listă de verificare, deoarece verificările ad-hoc pot confirma pur și simplu problemele de securitate la care v-ați gândit și le-ați rezolvat.
Aceste părți ale securității sistemului pe care le-ați trecut cu vederea vor fi călcâiul lui Ahile al afacerii dvs.
Iată lista noastră cu cele mai bune patru instrumente automate de securitate IT:
- Manager de drepturi de acces SolarWinds (ÎNCERCARE GRATUITĂ) Controlați implementările Active Directory în întreaga organizație și înăspriți acreditările utilizatorilor.
- Papertrail (ÎNCERCARE GRATUITĂ) Un manager de jurnal cuprinzător care oferă acces la arhive pentru auditare.
- Analizor ManageEngine EventLog (ÎNCERCARE GRATUITĂ) Un instrument de securitate care poate fi adaptat pentru a demonstra conformitatea cu standardele.
- LogicGate Un sistem de evaluare a riscurilor IT bazat pe cloud.
Ce este un audit de securitate IT?
Un audit este o evaluare a sistemului. Sunt multe niveluri de audit de securitate și diferite motive pentru a efectua unul. Un audit poate fi efectuat intern cu instrumente automate, altele pot necesita contribuția consultanților externi pentru a identifica și ajusta practicile de lucru care creează deficiențe de securitate.
Auditurile automate de securitate IT sunt cunoscute și ca evaluări de vulnerabilitate , în timp ce problemele procedurale sunt tratate de managementul riscurilor . Costul și întreruperea unui audit extern pot fi dezamăgitoare și, prin urmare, este mai bine să programați aceste tipuri de audituri de securitate IT mai puțin frecvent decât scanările automate ale sistemului. Instalarea unui software de monitorizare conform standardelor va efectua automat sarcini de auditare a conformității pentru dvs.
Instrumente de monitorizare care pot fi adaptate de modele de conformitate cu standardele să impună un set de practici de lucru și să producă documentație de conformitate fără intervenția umană. Un audit de securitate IT poate fi simplificat prin instituirea celor mai bune practici care sunt impuse de software.
Tipuri de audit de securitate
Un audit de securitate IT examinează sistemele și practicile de lucru, căutând punctele slabe care ar putea permite să apară o încălcare a datelor sau căutând dovezi că a avut loc o încălcare a datelor. Rolul de auditor este o poziție profesională și există organisme de standardizare care eliberează certificări pentru profesioniștii care își fac calitatea de membru al institutului și susțin examene pentru a-și dovedi cunoștințele. Deci, există Auditori de Sisteme Informaționale Certificați și Auditori de Internet Certificați care sunt calificați să efectueze audituri de securitate IT.
Audit intern
După cum sugerează și numele, un audit intern este efectuat de un membru al organizației. Un audit intern este de obicei comandate de consiliul director mai degrabă decât un exerciţiu opţional efectuat de departamentul IT. Cererea pentru un audit ar trebui să specifice, de asemenea, standardul care trebuie atins.
Un audit intern este de obicei un exercițiu rar. Poate fi o evaluare a sistemului care asigură că afacerea va trece un audit extern.
Auditul de securitate IT este menit să identifica problemele că managerii departamentelor IT nu observaseră și sugeraseră potențiale lacune la care acei manageri nu s-au gândit, așa că aceiași manageri nu sunt persoanele potrivite pentru a stabili agenda pentru audit.
Unele companii mai mari au un departament de audit intern. Numai companiile foarte mari au volumul și domeniul de activitate care le permit să justifice deținerea un auditor calificat specialist IT pe personal. Departamentul de audit al întreprinderilor mai mici ar putea angaja un consultant specializat în securitate IT pentru a consolida echipa de audit pe durata auditului de securitate IT.
Audit extern
Un audit extern are mai multe autoritate decât un audit intern. Deși un auditor extern este plătit de compania auditată, se așteaptă ca afacerea de audit să fie independentă. Nu ar trebui să fie susceptibil la presiuni pentru a înlătura constatările auditului pentru a pune sistemul IT într-o lumină pozitivă.
Forța motrice din spatele unui audit extern este de obicei o cerință contractuală sau o obligație legală a companiei de a dovedi că nu există probleme de securitate în sistemul său IT. În prezent, scopul principal al unui audit de securitate IT este de a dovedi conformitatea cu un standard de securitate a datelor, cum ar fi HIPAA , PCI-DSS , sau SOX .
metode de audit de securitate IT
Cele două cadre pentru auditarea securității IT sunt audituri manuale și audituri automate . În realitate, niciun audit IT nu va fi în întregime manual, deoarece auditorii se bazează pe instrumente pentru a extrage date din sistem. În mod similar, niciun audit nu poate fi complet automatizat, deoarece un om trebuie să seteze parametrii instrumentelor automate și să verifice veridicitatea rezultatelor acestora. Cu toate acestea, există mai multă implicare umană într-un audit manual decât într-un audit automat.
Audit manual
Un audit manual consumă timp și este costisitor. Pentru a fi demnă și de autoritate, oamenii care conduc auditul trebuie să fie profesioniști calificați în audit IT , care au salarii mari.
Un auditor profesionist are experiența care direcționează auditul către factorii importanți de urmărit și pregătirea care asigură auditul va fi efectuat metodic și minuțios.
Un audit manual are avantajul de a putea include interviuri cu personalul cheie . Poate evalua competența celor care conduc sistemul IT. Un audit manual este, de asemenea, capabil să acopere problemele geografice, cum ar fi locația echipamentelor IT cheie și măsurile de securitate fizică luate de companie.
Valabilitatea unui audit manual depinde de competența și reputația auditorului senior care conduce investigatorul și de încrederea investită în echipa care efectuează auditul.
Audit automatizat
A Tehnica de audit asistată de calculator (CAAT) nu este complet automatizat. Trebuie să existe oameni care să verifice și să verifice implementarea auditului și rezultatele acestuia. Cu toate acestea, CAAT este mult mai ușor de efectuat decât un audit manual tradițional.
Auditurile automate sunt mai efectiv când sunt puse în aplicare definitiv. Baza de documente pentru un audit de securitate IT poate fi construită în timp, verificând fiecare tranzacție și eveniment pe măsură ce are loc. Deci, un audit automat poate fi efectuat în mod incremental. Atunci când trebuie depus un raport de audit, acesta poate fi extras imediat.
Audit în curs, implementat de prelucrare automată de asemenea, menține departamentul IT pe drum drept și îngust. Șabloanele de standarde încorporate în sistemul IT previn practicile de lucru neglijente și fac mai puțin probabil ca afacerea să eșueze orice audit cerut de o autoritate externă.
Vezi si: Cele mai bune instrumente de auditare a securității rețelei
Standarde de securitate IT
În timp ce auditul financiar este cerut de autoritățile fiscale, auditurile de securitate IT sunt de obicei determinate de o cerință de a respecta un standard de protecție a datelor – determinate de obligații contractuale sau convenții din industrie. Principalele standarde care necesită un audit pentru verificarea conformității sunt:
- PCI-DSS – PCI-DSS este o cerință de procesare a cardului de plată. O companie nu va putea primi plăți de la clienți fără acreditare PCI-DSS. Standardul PCI-DSS nu este interesat de securitatea întregului sistem IT al unei afaceri, ci doar de detaliile cardului de plată și de informațiile personale ale clienților.
- HIPAA – Acest standard se aplică în industria sănătății și în acele întreprinderi care îl furnizează. Este preocupat de informațiile personale ale pacienților.
- SOX – SOX reprezintă Legea Sarbanes-Oxley. Este un standard juridic național în SUA care urmărește să împiedice întreprinderile să falsifice rapoartele privind profitabilitatea și viabilitatea lor financiară. Deși acest standard se aplică numai întreprinderilor din SUA, trebuie implementat și în toate filialele de peste mări ale companiilor din SUA.
- GDPR – Acest standard de protecție a datelor se aplică țărilor UE. Cu toate acestea, orice afacere din afara UE care dorește să facă afaceri în UE. Se referă în mod specific la securitatea informațiilor de identificare personală (PII) deținute în format digital.
- ISO/IEC 27000 – O familie de standarde produse de Organizația Internațională pentru Standardizare (ISO). Aceste standarde nu sunt direct. Cu toate acestea, acestea sunt adesea cerințe stabilite de companii atunci când scriu contracte cu companii asociate, cum ar fi furnizorii.
Frecvența auditului de securitate IT
Spre deosebire de auditurile financiare, nu există o cerință generală impusă de guvern pentru frecvența auditului de securitate IT. Multe dintre standardele de securitate IT includ o reînnoire a acreditării , care necesită un audit. Dacă solicitați acreditarea la unul dintre aceste standarde, ar trebui să urmați cerințele de audit ale acelui standard.
Convenția cu auditurile financiare și acreditarea standardelor de securitate IT este să le efectueze anual, astfel încât aceasta este cea mai bună practică pentru auditul de securitate IT.
Auditul proactiv și automat are loc continuu . Auditul în curs oferă toată documentația necesară pentru un audit de standarde. Dacă este comandat un audit extern, o cerință a afacerii care este auditată este că trebuie să aibă toate înregistrările sale disponibile pentru inspecție fără avertisment.
Un declanșator comun pentru un audit de securitate IT este descoperirea o încălcare a datelor sau un atac grav de securitate cibernetică. După ce s-au recuperat din atac, este probabil ca directorii companiei să solicite un audit de securitate IT pentru a se asigura că nu are loc un alt incident de securitate.
Sfaturi de audit de securitate IT
Auditurile de securitate IT pot fi foarte perturbatoare. Un audit manual, în special, necesită ca personalul IT să-și ia timp din activitățile lor obișnuite pentru a sprijini cerințele de informații ale auditorilor. Pregătirea pentru un audit poate fi, de asemenea, foarte consumatoare de timp, deoarece necesită ca toate înregistrările relevante să fie localizate și puse la dispoziție într-un format adecvat.
Există pași pe care îi puteți lua pentru a vă asigura că un audit se desfășoară fără probleme și cu o întrerupere minimă a activităților în desfășurare a departamentului IT.
- Identificați datele sensibile – Un audit de securitate IT bazat pe standarde se va concentra pe un anumit grup de date, cum ar fi datele cardului de plată (pentru PCI-DSS) sau informații personale (pentru HIPAA). Identificați toate locațiile depozitelor de date pentru acest tip de date. Acolo unde este posibil, centralizați toate tipurile de date critice și concentrați eforturile de securitate acolo. Dacă centralizarea nu este posibilă, asigurați-vă că sunt aplicate măsuri de înaltă securitate în toate locațiile în care sunt stocate datele respective.
- Gestionați fișierele jurnal – Standardele de date impun ca toate fișierele jurnal să fie disponibile la cerere pentru examinare de către un auditor extern fără notificare. Perioada de păstrare pentru această cerință variază în funcție de standard. Arhivarea este OK, dar arhivele ar trebui să fie ușor restaurate la disponibilitatea live pentru examinare.
- Controlați accesul la resurse – instituiți o politică de gestionare a drepturilor de acces care coordonează accesul la straturile de date și sensibilitatea aplicațiilor. Înregistrați toate evenimentele de acces, astfel încât încălcările de date să poată fi investigate în mod corespunzător.
- Aplicați practici de lucru sigure – Folosiți încuietori pentru parole și sisteme de distribuire a acreditărilor care exclud necesitatea de a trimite acreditările de conectare prin e-mail sau scrise pe bucăți de hârtie. Asigurați-vă că toate activitățile sunt efectuate în cadrul sistemului IT, astfel încât să poată fi înregistrate și urmărite automat.
Asigurați-vă că știți exact care standard de date trebuie să vă conformați și la ce date sau tranzacții se referă standardul respectiv. Eliminați procesele manuale ori de câte ori este posibil și înregistrați toate activitățile din sistemul IT.
Lista de verificare a auditului de securitate IT
Ușurați procesul de audit, asigurându-vă că departamentul dvs. IT este pregătit să sprijine orice solicitare de audit la un moment dat.
- Specificați standardul de audit pe care trebuie să îl respectați.
- Identificați resursele pe care le va examina auditul.
- Alocați responsabilitatea de securitate a sistemului personalului cheie pentru diferite atribute ale sistemului.
- Instruiți managerii de securitate a datelor, astfel încât să fie pe deplin conștienți de responsabilitățile lor.
- Listați software-ul curent de securitate al sistemului: de exemplu, firewall-uri, instrumente AV, SIEM etc.
- Verificați că toate programele și sistemele de operare sunt complet corelate și actualizate la cele mai recente versiuni.
- Arhivele de jurnal de verificare sunt disponibile pentru căutare.
- Creați un set de politici de securitate și documentați-le, păstrându-le într-un folder specific, fie digital, fie pe hârtie.
- Efectuați verificări regulate de vulnerabilitate a sistemului.
- Înăspriți accesul fizic la nivelurile de acces la securitatea documentelor de la servere.
- Implementați controlul centralizat de autentificare.
- Implementați puterea parolei, 2FA și rotația parolelor pentru toate conturile de utilizator.
- Eliminați conturile inactive.
- Implementați controale pentru dispozitive periferice și firewall-uri inverse pentru prevenirea pierderii de date.
- Implementați criptarea tuturor transmisiilor de date.
- Implementați scanări automate de securitate și înregistrarea activității.
Când sosește o echipă de audit extern, pașii de mai sus se vor asigura că poate efectua un audit de securitate complet, fără ca personalul IT să fie nevoit să-și oprească activitatea obișnuită.
Cele mai bune instrumente automate de audit de securitate IT
Implementați sisteme care controlează activitățile pentru a bloca practicile de lucru nesecurizate și pentru a compila treptat documentația de audit. Aceste instrumente vă asigură că sunteți conform în mod constant cu standarde de securitate a datelor și ar putea trece cu ușurință orice audit flash.
Metodologia noastră pentru selectarea unui instrument de monitorizare a securității IT
Am revizuit piața sistemelor de monitorizare a securității și am analizat instrumentele pe baza următoarelor criterii:
- Evaluarea datelor de gestionare a drepturilor de acces
- Colectarea și corelarea jurnalelor
- Adaptarea evaluării pentru standardele de confidențialitate a datelor
- Instrumente automate de evaluare
- Șabloane formatate de raportare a conformității
- O probă gratuită sau un pachet demonstrativ care oferă o oportunitate pentru o evaluare fără costuri
- Raport calitate/preț de la un instrument de audit care va economisi timp și este oferit la un preț rezonabil
Având în vedere aceste criterii de selecție, am identificat o serie de instrumente pe care ar trebui să le luați în considerare pentru a vă sprijini cerințele de auditare a sistemului IT.
1. Manager de drepturi de acces SolarWinds (ÎNCERCARE GRATUITĂ)
Manager de drepturi de acces SolarWindsa fost creat cu proceduri de conformitate cu standardele, deci este un instrument validat pentru conformare GDPR , PCI-DSS , HIPAA , plus alte standarde de securitate a datelor. Rapoartele de audit sunt integrate în Access Rights Manager, ceea ce face atât auditurile interne, cât și cele externe mai rapide și mai ușor de finalizat.
Caracteristici cheie:
- Gestionarea contului utilizatorului
- Curățare cont
- Funcționează pe Active Directory
- Conformitatea cu PCI-DSS, HIPAA și GDPR
- Portal de autoservire pentru utilizatori
Acest software se instalează pe Windows Server și acordă atenție Director activ implementări, centralizând gestionarea conturilor între site-uri și aplicații. Include funcții de analiză a contului care vă permit să identificați conturile nesigure și inactive. De asemenea, include un portal de autoservire pentru a le permite utilizatorilor să-și actualizeze propriile conturi și poate impune politicile de reînnoire și de putere a parolelor. Puteți obține o probă gratuită de 30 de zile a Managerului de drepturi de acces SolarWinds.
Pro:
- Oferă o privire clară asupra structurilor de permisiuni și fișiere prin mapare și vizualizări automate
- Rapoartele preconfigurate facilitează demonstrarea conformității
- Orice probleme de conformitate sunt subliniate după scanare și asociate cu acțiuni de remediere
- Administratorii de sistem pot personaliza drepturile de acces și controlul în Windows și în alte aplicații
Contra:
- SolarWinds Access Rights Manager este o platformă aprofundată concepută pentru administratorul de sistem, care poate dura timp pentru a învăța complet
SolarWinds Access Rights Manager Începeți o perioadă de încercare GRATUITĂ de 30 de zile
Două. Papertrail (ÎNCERCARE GRATUITĂ)
Urma de hartieeste un serviciu de gestionare a jurnalelor bazat pe cloud care are funcții excelente de gestionare a disponibilității datelor. Mesajele de jurnal sunt încărcate pe serverul Papertrail de către agenții instalați pe site. Serverul de fișiere jurnal clasifică, consolidează și stochează mesajele jurnal într-un format standard, astfel încât să poată gestiona toate tipurile de mesaje jurnal, inclusiv cele generate de Evenimente Windows și Syslog . Mesajele jurnal sunt disponibile printr-un vizualizator de fișiere jurnal pentru căutare, sortare și analiză.
Caracteristici cheie:
- Bazat pe cloud
- Colectează și consolidează evenimente Windows și Syslog
- Arhivarea și revigorarea jurnalelor
Papertrail are un foarte util arhivare mecanism care poate aduce fișierele înapoi în sfera live pentru examinare. Aceasta este o caracteristică foarte importantă cerută de auditorii standardelor de date și face din aceasta un instrument automat de audit al securității IT util.
Pro:
- Serviciul găzduit în cloud ajută la scalarea colectării jurnalelor fără a investi în infrastructură nouă
- Criptează datele atât în tranzit, cât și în repaus
- Backup-ul și arhivarea se fac automat și fac parte din serviciu
- Utilizează atât detectarea bazată pe semnătură, cât și detectarea anomaliilor pentru cea mai amănunțită monitorizare posibilă
- Include o versiune gratuită
Contra:
- Trebuie investit timp pentru a explora pe deplin toate caracteristicile și opțiunile
Capacitatea de procesare a datelor, perioada de disponibilitate live și capacitatea de stocare a Papertrail depind de care dintre cele șase planuri pe care le alegeți. Există o versiune gratuită care procesează 50 MB de date pe lună.
Versiunea gratuită Papertrail<50GB/month
3. Analizor ManageEngine EventLog (ÎNCERCARE GRATUITĂ)
ManageEngine EventLog Analyzer oferă rutine cuprinzătoare de gestionare a jurnalelor. Colectează și consolidează mesajele de jurnal și apoi le indexează și le înregistrează. Fișierele jurnal sunt create într-o structură de directoare semnificativă, făcându-le ușor de accesat pentru analiză. Sistemul include, de asemenea, funcții de analiză pentru a facilita evaluarea evenimentului.
Caracteristici cheie:
- Colector și consolidator de bușteni
- Evenimente Windows, Syslog și jurnalele de aplicații
- Reclamație PCI-DSS, GDPR, SOX, HIPAA și ISO 27001
- Șabloane de raportare a conformității
ManageEngine a proiectat EventLog Analyzer ținând cont de standardele de protecție a datelor. Are șabloane care adaptează sistemul astfel încât să impună și să sprijine conformitatea cu PCI-DSS , HIPAA , GDPR , SOX , ISO 27001, și alte standarde.
Pro:
- Tablouri de bord personalizabile care funcționează excelent pentru centrele de operare în rețea
- Mai multe canale de alertă asigură că echipele sunt notificate prin SMS, e-mail sau integrarea aplicației
- Utilizează detectarea anomaliilor pentru a asista tehnicienii în operațiunile lor de zi cu zi
- Acceptă monitorizarea integrității fișierelor care poate acționa ca un sistem de avertizare timpurie pentru probleme de ransomware, furt de date și acces la permisiuni.
- Caracteristicile de audit al jurnalelor criminalistice le permit administratorilor să creeze rapoarte pentru cazuri legale sau investigații.
Contra:
- Mai potrivite pentru monitorizarea continuă față de auditurile unice
Software-ul pentru EventLog Analyzer se instalează pe Windows Server și Linux . Îl poți obține pe a30 de zile de încercare gratuită.
Analizorul ManageEngine EventLog Începeți o perioadă de încercare GRATUITĂ de 30 de zile
Patru. LogicGate
LogicGate este un instrument de guvernanță, management al riscului și conformitate (GRC) bazat pe cloud. Printre serviciile LogGate se numără un sistem de evaluare a riscurilor de securitate IT care poate fi adaptat la standarde specifice de date, cum ar fi GDPR , PCI-DSS , și SOX .
Caracteristici cheie:
- Bazat pe cloud
- Conformitate cu GDPR, PCI-DSS și SOX
- Evaluare a riscurilor
Acest serviciu creează un cadru de risc adaptat industriei dvs. și standardelor pe care trebuie să le respectați. LogicGate poate produce, de asemenea Ghid de audit de securitate IT , care sunt utile pentru o verificare de pre-evaluare, precum și un instrument pentru cei care efectuează auditul în sine.
Pro:
- Acceptă GDPR, precum și alte standarde populare de conformitate
- Dispune de un portal pentru clienți unde terții pot face cereri de date într-un mod sigur și auditabil
- Alertele automate pot ține echipele la curent cu problemele de conformitate, precum și despre încălcări
- Administratorul de sistem își poate construi propriile inventare de active și poate aplica permisiuni personalizate în funcție de nevoile lor
Contra:
- Prețul nu este transparent
- Trebuie să contactați vânzările pentru o demonstrație, fără descărcare gratuită