Zakres i analiza audytu bezpieczeństwa danych
Po pierwsze musisz zdefiniować zakres audytu. Jakie dokładnie zasoby i procedury chcesz audytować, a jakie należy pominąć. Efektem analizy powinna być spisana lista wszystkich zasobów istotnych z punktu widzenia bezpieczeństwa danych. W opracowanie listy warto zaangażować jak najwięcej osób wykorzystujących dane w swojej codziennej pracy. Na liście może znaleźć się wiele pozycji, od prostych rzeczy jak stacja robocza, telefony IP, aż do procedury odtworzenia środowiska IT po pożarze serwerowni. Co istotne często okazuje się, że na takiej liście znajdą się też zasoby, co do których nie miałeś świadomości, że są używane w Twojej organizacji. Ponadto należy stworzyć listę polityk, jakie są zdefiniowane w organizacji. Np. polityka dot. stosowanych haseł, polityka bezpieczeństwa sieciowego, polityka dostępu do Internetu, polityka zdalnego dostępu, polityka prywatności itp.
Potencjalne zagrożenia bezpieczeństwa danych w audycie
Po drugie stwórz listę potencjalnych zagrożeń, jakie chcesz brać pod uwagę audytując zasoby. To oczywiste, że w zależności od zasobu lista zagrożeń może być różna. Dlatego podpowiadamy, że najczęstszymi zagrożeniami, jakie warto brać pod uwagę są:
- Złośliwe oprogramowanie tzw. malware (ransomware, trojany, spyware, itp)
- Ataki DDoS (Distributed Denial of Service)
- Ataki, których celem są pracownicy (phising, słabe hasła, nieuprawiony dostęp do danych)
- Włamania komputerowe (wycieki danych)
- Fizyczne włamania
- Katastrofy naturalne
W celu weryfikacji, czy na liście uwzględniliśmy odpowiednie rodzaje zagrożeń, warto oprzeć się o framwework taki jak np. CIS Controls.
Ocena zabiezpieczeń i zgodności z politykami bezpieczeństwa
Po trzecie określ, jakie aktualnie stosujesz zabezpieczenia, jakiego są poziomu, a przede wszystkim czy są kompletne, czyli czy obejmują wszystkie wyszczególnione na liście zasoby. Po czwarte sprawdź, jaki jest rzeczywisty poziom zabezpieczeń i zgodności ze zdefiniowanymi politykami. Do sprawdzenia rzeczywistości najlepiej użyć zautomatyzowanego systemu, który przeskanuje sieć firmową z punktu widzenia publicznego Internetu. Dzięki temu, otrzymasz obraz tego co mogą zobaczyć i wykorzystać atakujący z zewnątrz.
Równie ważne jest przeskanowanie sieci firmowej z jej wnętrza, z punktu widzenia zwykłej stacji roboczej. Wtedy uzyskamy obraz infrastruktury w sytuacji, gdyby stacja robocza została skompromitowana lub atakujący uzyskał dostęp do sieci np. poprzez włamanie się przez sieć WiFi. Taki skan powinien pokazać systemy operacyjne, usługi sieciowe, ich aktualność, a co za tym idzie podatność na włamanie, potencjalne problemy np. domyślne hasła administratora. Do sprawdzenia zgodności ze zdefiniowanymi politykami wykorzystaj spotkania z pracownikami, którzy objęci są daną polityką i sprawdź, jak wygląda stosowanie danej polityki w praktyce.
Raport z audytu bezpieczeństwa i zgodności
Po piąte przygotuj raport zawierający wszystkie elementy opisane powyżej. Co bardzo istotne raport powinien zawierać opis działań jakie należy podjąć w odpowiedzi na rezultaty audytu. Tak sporządzony raport będzie potem punktem odniesienia do kolejnego audytu i sprawdzenia, czy wszystkie zdefiniowane działania zostały podjęte i czy cel został osiągnięty. Raport powinien być załącznikiem np. do analizy ryzyka. Jest on dowodem na to w jaki sposób organizacja podchodzi do zapewnienia bezpieczeństwa w przypadku np. wycieku danych osobowych.
Outsourcing audytu bezpieczeństwa IT
Audyt można przeprowadzić samodzielnie. Zaletą takiego podejścia jest łatwy dostęp do szczegółów dot. wykorzystywanych zasobów, infrastruktury IT i osób istotnych z punktu widzenia bezpieczeństwa IT. Trudnością może być subiektywne podejście i brak profesjonalnych narzędzi, szczególnie do skanowania sieci. Warto zatem rozważyć zlecenie wykonania audytu bezpieczeństwa IT również zewnętrznej firmie. Najważniejszym argumentem jest to, że zewnętrzni specjaliści spojrzą na audytowane przedsiębiorstwo, niejako „z boku”, bez emocji. W oparciu o swoje eksperckie doświadczenie mogą zwrócić uwagę na obszary, które dla pracowników firmy mogą pozostawać poza obszarem dotychczasowej analizy.
Najlepszym rozwiązaniem jest przeprowadzanie audytów samodzielnie oraz z wykorzystaniem zewnętrznych ekspertów, dzięki temu cenne firmowe dane będą bezpieczniejsze, a w rezultacie przedsiębiorstwo nie będzie wydawać pieniędzy np. na okup dla przestępców lub kary nakładane przez UODO. Nie wspominając o możliwych utrudnieniach w operacyjnej działalności firmy lub stratach wizerunkowych.
