Jak provést audit bezpečnosti IT – průvodce a nástroje krok za krokem

Je jich mnoho ohrožení IT systémů a útoky hackerů nejsou jediným zdrojem potenciálních problémů. Musíte se také zajistit proti vnitřním hrozbám a náhodné ztrátě nebo poškození dat. Existuje mnoho činností, které je třeba provést, aby bylo zajištěno silné zabezpečení systému.

Musíte vystupovat pravidelné audity bezpečnosti IT abyste se ujistili, že ve vaší bezpečnostní strategii neexistují žádné mezery. Při provádění auditu zabezpečení IT byste měli metodicky procházet kontrolní seznam, protože kontroly ad-hoc mohou jednoduše potvrdit bezpečnostní problémy, na které jste mysleli a které jste řešili.

Právě ty části zabezpečení systému, které jste přehlédli, budou Achillovou patou vašeho podnikání.

Zde je náš seznam čtyř nejlepších automatizovaných nástrojů pro zabezpečení IT:

1. Správce přístupových práv SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Kontrolujte implementace služby Active Directory v celé organizaci a zpřísněte přihlašovací údaje uživatelů.
2. Papertrail (ZKOUŠKA ZDARMA) Komplexní správce protokolů, který umožňuje přístup k archivům pro audit.
3. ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Bezpečnostní nástroj, který lze upravit tak, aby prokázal shodu se standardy.
4. LogicGate Systém pro hodnocení rizik IT založený na cloudu.

Co je audit bezpečnosti IT?

Audit je hodnocením systému. Existují mnoho úrovní bezpečnostních auditů a různé důvody, proč to provést. Audit lze provést interně pomocí automatických nástrojů, jiné mohou vyžadovat vstup externích konzultantů k identifikaci a úpravě pracovních postupů, které vytvářejí slabá místa v zabezpečení.

Automatizované audity bezpečnosti IT jsou také známé jako hodnocení zranitelnosti , zatímco procesní otázky řeší řízení rizik . Náklady a narušení externího auditu mohou být odrazující, a proto je lepší plánovat tyto typy auditů zabezpečení IT méně často než automatizované kontroly systému. Instalace monitorovacího softwaru vyhovujícího standardům za vás automaticky provede úkoly auditu shody.

Monitorovací nástroje, které lze přizpůsobit pomocí šablony pro shodu s normami uložit soubor pracovních postupů a vytvořit dokumentaci shody bez lidského zásahu. Audit zabezpečení IT lze usnadnit zavedením osvědčených postupů, které jsou vynucovány softwarem.

Typy bezpečnostních auditů

Audit bezpečnosti IT zkoumá systémy a pracovní postupy, hledá slabá místa, která by mohla umožnit narušení dat, nebo hledá důkazy, že k porušení dat došlo. Role auditora je profesionální pozice a existují standardní orgány, které vydávají osvědčení pro odborníky, kteří se stanou členy institutu a složí zkoušky, aby prokázali své znalosti. Existují tedy certifikovaní auditoři informačních systémů a certifikovaní internetoví auditoři, kteří jsou kvalifikovaní k provádění auditů bezpečnosti IT.

Interní audit

Jak již z názvu vyplývá, interní audit provádí člen organizace. Obvykle se jedná o interní audit velí představenstvo spíše než volitelné cvičení prováděné oddělením IT. Požadavek na audit by měl rovněž specifikovat standard, kterého má být dosaženo.

Interní audit je obvykle málo častým cvičením. Může se jednat o systémové hodnocení, které zajistí, že podnik projde externím auditem.

Audit bezpečnosti IT je určen k tomu identifikovat problémy že si manažeři IT oddělení nevšimli a nenavrhli potenciální mezery, na které tyto manažery nepomysleli, takže titíž manažeři nejsou těmi správnými lidmi, kteří by určovali agendu auditu.

Některé větší podniky mají oddělení interního auditu. Pouze velmi velké společnosti mají objem a rozsah podnikání, který jim umožňuje ospravedlnit to kvalifikovaný auditor IT specialista na personál. Auditní oddělení menších podniků si může najmout specializovaného konzultanta pro bezpečnost IT, aby posílil auditorský tým po dobu trvání auditu bezpečnosti IT.

Externí audit

Externí audit má více autorita než interní audit. Ačkoli je externí auditor placen auditovanou společností, očekává se, že tato auditní činnost bude nezávislá. Nemělo by být vystaveno nátlaku s cílem zfalšovat závěry auditu, aby se IT systém dostal do pozitivního světla.

Hybnou silou externího auditu je obvykle smluvní požadavek nebo zákonná povinnost společnosti prokázat, že v jejím IT systému nejsou žádné bezpečnostní problémy. V současné době je hlavním účelem auditu bezpečnosti IT prokázat shodu se standardem bezpečnosti dat, jako je např HIPAA , PCI-DSS nebo SOX .

Metody auditu bezpečnosti IT

Dva rámce pro audit bezpečnosti IT jsou manuální audity a automatizované audity . Ve skutečnosti žádný IT audit nebude zcela manuální, protože auditoři spoléhají na nástroje k extrakci dat ze systému. Podobně žádný audit nemůže být zcela automatizován, protože člověk potřebuje nastavit parametry automatizovaných nástrojů a zkontrolovat pravdivost jejich výstupu. V manuálním auditu je však více lidského zapojení než v automatizovaném auditu.

Manuální audit

Manuální audit je časově náročný a drahý. Aby byl audit hodnotný a autoritativní, musí být lidé provádějící audit kvalifikovaní odborníci na audit IT , kteří mají vysoké platy.

Profesionální auditor má zkušenosti, které nasměrují audit na důležité faktory, na které je třeba si dát pozor, a školení, které zajistí, že audit bude proveden metodicky a důkladně.

Manuální audit má tu výhodu, že jej lze zahrnout rozhovory s klíčovými zaměstnanci . Může posoudit způsobilost osob provozujících IT systém. Manuální audit je také schopen pokrýt geografické problémy, jako je umístění klíčového IT vybavení a fyzická bezpečnostní opatření přijatá podnikem.

Platnost manuálního auditu závisí na kompetenci a pověsti hlavního auditora, který vyšetřovatele vede, a na důvěře vložené do týmu, který audit provádí.

Automatizovaný audit

A Technika auditu za pomoci počítače (CAAT) není zcela automatizovaný. Musí být lidé, kteří budou kontrolovat a ověřovat provádění auditu a jeho výsledky. CAAT se však provádí mnohem snadněji než tradiční manuální audit.

Automatizované audity jsou více efektivní když jsou trvale umístěny. Základ dokumentů pro audit bezpečnosti IT lze budovat v průběhu času a kontrolovat každou transakci a událost tak, jak k ní dojde. Automatizovaný audit lze tedy provádět postupně. Když je třeba podat zprávu o auditu, lze ji okamžitě vyjmout.

Průběžné audity, které provedl automatizované zpracování také udržuje IT oddělení na rovině. Šablony standardů zabudované do IT systému zabraňují nedbalým pracovním postupům a snižují pravděpodobnost, že podnik selže při jakémkoli auditu požadovaném externím orgánem.

Viz také: Nejlepší nástroje pro audit zabezpečení sítě

IT bezpečnostní standardy

Zatímco finanční audity požadují daňové úřady, audity bezpečnosti IT jsou obvykle řízeny požadavkem na dodržování standardu ochrany dat – řízeny smluvními závazky nebo průmyslovými konvencemi. Hlavní standardy, které vyžadují audit pro prokázání souladu, jsou:

• PCI-DSS – PCI-DSS je požadavek na zpracování platební kartou. Podnik nebude moci přijímat platby od zákazníků bez akreditace PCI-DSS. Standard PCI-DSS se nezajímá o bezpečnost celého podnikového IT systému, pouze o údaje o platební kartě a osobní údaje zákazníků.
• HIPAA – Tato norma platí ve zdravotnictví a v podnicích, které ji dodávají. Zabývá se osobními informacemi pacientů.
• SOX – SOX znamená Sarbanes-Oxley Act. Jde o národní právní normu v USA, jejímž cílem je zabránit podnikům ve falšování zpráv o jejich ziskovosti a finanční životaschopnosti. Ačkoli se tento standard vztahuje pouze na americké podniky, je třeba jej implementovat také ve všech zahraničních pobočkách amerických společností.
• GDPR – Tento standard ochrany údajů platí pro země EU. Nicméně každý podnik mimo EU, který chce podnikat v EU. Konkrétně se týká zabezpečení osobních údajů (PII) uchovávaných v digitálním formátu.
• ISO/IEC 27000 – Skupina norem vytvořených Mezinárodní organizací pro normalizaci (ISO). Tyto normy nejsou přímo. Často se však jedná o požadavky stanovené podniky při sepisování smluv s přidruženými společnostmi, jako jsou dodavatelé.

Frekvence auditu bezpečnosti IT

Na rozdíl od finančních auditů neexistuje žádný vládou vynucený paušální požadavek na frekvenci auditů zabezpečení IT. Mezi bezpečnostní standardy IT patří mnoho obnovení akreditace , která vyžaduje audit. Pokud žádáte o akreditaci podle jednoho z těchto standardů, měli byste se řídit požadavky na audit tohoto konkrétního standardu.

Úmluva s finančními audity a akreditací bezpečnostních standardů IT je provádět je každoročně, což je nejlepší praxe pro audit bezpečnosti IT.

Probíhá proaktivní, automatizovaný audit nepřetržitě . Průběžný audit poskytuje veškerou nezbytnou dokumentaci potřebnou pro audit standardů. Je-li nařízen externí audit, požadavkem auditovaného podniku je, že jej musí mít všechny jeho záznamy k dispozici ke kontrole bez varování.

Běžným spouštěčem pro audit bezpečnosti IT je zjištění únik dat nebo vážný kybernetický útok. Po zotavení z útoku vedení společnosti pravděpodobně požádá o audit zabezpečení IT, aby se ujistilo, že nenastane další bezpečnostní incident.

Tipy na bezpečnostní audit IT

Audity bezpečnosti IT mohou být velmi rušivé. Manuální audit zejména vyžaduje, aby pracovníci IT věnovali čas svým pravidelným činnostem, aby podpořili informační požadavky auditorů. Příprava na audit může být také velmi časově náročná, protože vyžaduje, aby byly všechny relevantní záznamy umístěny a zpřístupněny ve vhodném formátu.

Existují kroky, které můžete podniknout, abyste zajistili hladký průběh auditu a minimální narušení probíhajících činností oddělení IT.

• Identifikujte citlivá data – Audit bezpečnosti IT založený na standardech se zaměří na jeden konkrétní soubor dat, jako jsou údaje o platebních kartách (pro PCI-DSS) nebo osobní informace (pro HIPAA). Identifikujte všechna umístění úložiště dat pro tento typ dat. Kde je to možné, centralizujte všechny kritické datové typy a zaměřte bezpečnostní úsilí tam. Pokud centralizace není možná, zajistěte, aby byla na všechna místa, kde jsou tato data uložena, aplikována vysoce bezpečnostní opatření.
• Spravujte soubory protokolu – Datové standardy vyžadují, aby všechny protokolové soubory byly na požádání k dispozici ke kontrole externím auditorem bez předchozího upozornění. Doba uchování tohoto požadavku se liší podle normy. Archivace je v pořádku, ale archivy by měly být snadno obnoveny do živé dostupnosti pro kontrolu.
• Řízení přístupu ke zdrojům – zavést politiku správy přístupových práv, která koordinuje přístup k vrstvám dat a citlivost aplikací. Zaznamenávejte všechny události přístupu, aby bylo možné řádně prošetřit narušení dat.
• Prosazovat bezpečné pracovní postupy – Používejte schránky na hesla a systémy distribuce pověření, které vylučují nutnost zasílat přihlašovací údaje e-mailem nebo napsané na kouscích papíru. Zajistěte, aby všechny činnosti byly prováděny v rámci IT systému, aby mohly být automaticky protokolovány a dohledány.

Ujistěte se, že přesně víte, které datový standard očekává se, že budete dodržovat a jakých údajů nebo transakcí se daný standard týká. Odstraňte manuální procesy, kdykoli je to možné, a zaznamenejte všechny aktivity v rámci IT systému.

Kontrolní seznam auditu bezpečnosti IT

Usnadněte si proces auditu tím, že zajistíte, aby vaše IT oddělení bylo připraveno okamžitě podpořit jakékoli požadavky na audit.

• Určete standard auditu, který musíte dodržovat.
• Identifikujte zdroje, které bude audit zkoumat.
• Přidělte odpovědnost za zabezpečení systému klíčovým pracovníkům za různé systémové atributy.
• Vyškolte manažery bezpečnosti dat, aby si byli plně vědomi svých povinností.
• Seznam aktuálního softwaru pro zabezpečení systému: např. firewally, AV, SIEM nástroje atd.
• Zkontrolujte, zda je veškerý software a operační systémy plně opraveny a aktualizovány na nejnovější verze.
• Pro vyhledávání jsou k dispozici archivy kontrolních protokolů.
• Vytvořte sadu zásad zabezpečení a zdokumentujte je ve specifické složce, buď digitálně, nebo na papíře.
• Provádějte pravidelné kontroly zranitelnosti systému.
• Zpřísnění úrovně fyzického přístupu k serverům pro zabezpečení dokumentů.
• Implementujte centralizovanou kontrolu autentizace.
• Vynutit sílu hesla, 2FA a střídání hesel u všech uživatelských účtů.
• Odstraňte neaktivní účty.
• Implementujte ovládání periferních zařízení a reverzní firewally pro prevenci ztráty dat.
• Vynutit šifrování u všech datových přenosů.
• Implementujte automatizované bezpečnostní kontroly a protokolování aktivit.

Když dorazí externí auditorský tým, výše uvedené kroky zajistí, že bude moci provést komplexní bezpečnostní audit, aniž by vaši IT pracovníci museli přerušit svou běžnou práci.

Nejlepší nástroje pro automatizovaný audit bezpečnosti IT

Nasaďte systémy, které řídí činnosti, zablokují nezabezpečené pracovní postupy a postupně sestavují dokumentaci auditu. Tyto nástroje zajistí, že jste neustále vyhovující se standardy zabezpečení dat a mohl snadno projít jakýmkoli flash auditem.

Naše metodika pro výběr nástroje pro monitorování bezpečnosti IT

Přezkoumali jsme trh se systémy pro monitorování bezpečnosti a analyzovali nástroje na základě následujících kritérií:

• Posouzení dat správy přístupových práv
• Sběr logů a korelace
• Přizpůsobení hodnocení pro standardy ochrany osobních údajů
• Nástroje pro automatické hodnocení
• Formátované šablony hlášení shody
• Bezplatná zkušební verze nebo demo balíček, který nabízí možnost bezplatného posouzení
• Hodnota za peníze z nástroje auditu, který šetří čas a je nabízen za rozumnou cenu

S ohledem na tato výběrová kritéria jsme identifikovali řadu nástrojů, které byste měli zvážit pro podporu vašich požadavků na audit systému IT.

1. Správce přístupových práv SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)

Správce přístupových práv SolarWindsbyl vytvořen s postupy pro dodržování norem, takže jde o ověřený nástroj pro dodržování norem GDPR , PCI-DSS , HIPAA , plus další standardy zabezpečení dat. Auditní sestavy jsou zabudovány do Access Rights Manager, což umožňuje rychlejší a jednodušší dokončení interních i externích auditů.

Klíčové vlastnosti:

• Správa uživatelských účtů
• Vyčištění účtu
• Funguje na Active Directory
• Soulad s PCI-DSS, HIPAA a GDPR
• Samoobslužný portál pro uživatele

Tento software se nainstaluje na Windows Server a věnuje pozornost Aktivní adresář implementace, centralizace správy účtů napříč weby a aplikacemi. Zahrnuje funkce analýzy účtů, které vám umožní identifikovat nezabezpečené a neaktivní účty. Zahrnuje také samoobslužný portál umožňuje uživatelům aktualizovat své vlastní účty a může vynutit sílu hesla a zásady obnovení. Můžete získat 30denní bezplatnou zkušební verzi SolarWinds Access Rights Manager.

Klady:

• Poskytuje jasný pohled do struktury oprávnění a souborů prostřednictvím automatického mapování a vizualizací
• Předkonfigurované sestavy usnadňují prokázání souladu
• Jakékoli problémy s dodržováním předpisů jsou popsány po skenování a spárovány s nápravnými akcemi
• Sysadmins mohou přizpůsobit přístupová práva a ovládání ve Windows a dalších aplikacích

Nevýhody:

• SolarWinds Access Rights Manager je podrobná platforma navržená pro správce systému, jejíž úplné naučení může chvíli trvat

SolarWinds Access Rights Manager Start 30denní zkušební verze ZDARMA

dva. Papertrail (ZKOUŠKA ZDARMA)

Papírová stopaje cloudová služba správy protokolů který má skvělé funkce pro správu dostupnosti dat. Zprávy protokolu jsou nahrány na server Papertrail agenty nainstalovanými na místě. Server protokolových souborů kategorizuje, konsoliduje a ukládá protokolové zprávy ve standardizovaném formátu, takže může zpracovávat všechny typy protokolových zpráv včetně zpráv generovaných Události systému Windows a Syslog . Zprávy protokolu jsou dostupné prostřednictvím prohlížeče souborů protokolu pro vyhledávání, třídění a analýzu.

Klíčové vlastnosti:

• Cloudové
• Shromažďuje a konsoliduje události Windows a Syslog
• Archivace a oživení protokolu

Papertrail má velmi užitečné archivace mechanismus, který dokáže vrátit soubory zpět do živé sféry k prozkoumání. Toto je velmi důležitá funkce vyžadovaná auditory datových standardů a dělá z ní užitečný nástroj pro automatizovaný audit bezpečnosti IT.

Klady:

• Služba hostovaná v cloudu pomáhá škálovat shromažďování protokolů bez investic do nové infrastruktury
• Šifruje data při přenosu i v klidu
• Zálohování a archivace se provádí automaticky a je součástí služby
• Používá jak detekci založenou na signaturách, tak detekci anomálií pro co nejdůkladnější monitorování
• Zahrnuje bezplatnou verzi

Nevýhody:

• Je třeba investovat čas do úplného prozkoumání všech funkcí a možností

Kapacita zpracování dat, aktuální doba dostupnosti a kapacita úložiště Papertrail závisí na tom, který ze šesti plánů si vyberete. Tady je bezplatná verze která zpracuje 50 MB dat měsíčně.

Bezplatná verze Papertrail<50GB/month

3. ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA)

ManageEngine EventLog Analyzer poskytuje komplexní rutiny správy protokolů. Shromažďuje a konsoliduje zprávy protokolu a poté je indexuje a ukládá. Protokolové soubory jsou vytvářeny ve smysluplné adresářové struktuře, což usnadňuje jejich analýzu. Systém také obsahuje analytické funkce, které usnadňují hodnocení událostí.

Klíčové vlastnosti:

• Sběrač a konsolidátor kulatiny
• Události Windows, Syslog a protokoly aplikací
• Stížnost na PCI-DSS, GDPR, SOX, HIPAA a ISO 27001
• Šablony hlášení shody

ManageEngine navrhl EventLog Analyzer s ohledem na standardy ochrany dat. Má šablony, které přizpůsobují systém tak, aby vynucoval a podporoval dodržování PCI-DSS , HIPAA , GDPR , SOX , ISO 27001, a další normy.

Klady:

• Přizpůsobitelné řídicí panely, které skvěle fungují pro síťová operační centra
• Několik kanálů upozornění zajišťuje, že týmy jsou informovány prostřednictvím SMS, e-mailu nebo integrace aplikací
• Využívá detekci anomálií k pomoci technikům v jejich každodenních operacích
• Podporuje monitorování integrity souborů, které může fungovat jako systém včasného varování před ransomwarem, krádeží dat a problémy s přístupem.
• Funkce forenzního auditu protokolů umožňují správcům vytvářet zprávy pro právní případy nebo vyšetřování.

Nevýhody:

• Vhodnější pro průběžné sledování veršů jednorázových auditů

Software pro EventLog Analyzer se nainstaluje na Windows Server a Linux . Můžete to získat na a30denní bezplatná zkušební verze.

ManageEngine EventLog Analyzer Spusťte 30denní zkušební verzi ZDARMA

Čtyři. LogicGate

LogicGate je cloudový nástroj pro správu, řízení rizik a dodržování předpisů (GRC). Mezi službami LogGate je systém hodnocení bezpečnostních rizik IT, který lze přizpůsobit konkrétním datovým standardům, jako je např GDPR , PCI-DSS , a SOX .

Klíčové vlastnosti:

• Cloudové
• Soulad s GDPR, PCI-DSS a SOX
• Odhad rizika

Tato služba vytváří rámec rizik přizpůsobený vašemu odvětví a standardům, které musíte dodržovat. LogicGate umí také vyrábět Pokyny pro audit bezpečnosti IT , které jsou užitečné pro kontrolu před posouzením i jako nástroj pro ty, kteří provádějí samotný audit.

Klady:

• Podporuje GDPR a další populární standardy dodržování předpisů
• Obsahuje zákaznický portál, kde mohou třetí strany zadávat požadavky na data bezpečným a auditovatelným způsobem
• Automatizované výstrahy mohou týmy informovat o problémech s dodržováním předpisů i o porušeních
• Sysadmin může vytvářet své vlastní inventáře majetku a používat vlastní oprávnění na základě svých potřeb

Nevýhody:

• Ceny nejsou transparentní
• Pro ukázku je nutné kontaktovat prodej, bez stahování zdarma