Audyt bezpieczeństwa jako analiza ryzyka
Czy analizę ryzyka można porównać z badaniami lekarskimi? Oczywiście, że można. Dla każdego powinno być oczywistym, że analiza ryzyka nie może być działaniem jednorazowym. Fakt ten jest niezależny od tego, czego analiza konkretnie dotyczy. Skąd porównanie do badań lekarskich? Bo to, że dziś twoje wyniki są znakomite, poziom cholesterolu w normie a zastawki serca domykają się idealnie nie oznacza, że takich samych rezultatów możesz oczekiwać za pół roku. A już na pewno nie za pięć lat. Nie żyjemy w próżni. Nasze zdrowie zależy od wielu czynników zewnętrznych. Co więcej, niektóre zagrożenia pojawiają się dosłownie z dnia na dzień i wymagają natychmiastowego działania. Audyt cyberbezpieczeństwa obowiązują podobne reguły.
Zarządzanie zagrożeniami
Pozytywna ocena bezpieczeństwa może uśpić naszą czujność. Dlatego właśnie proces oceny naszego bezpieczeństwa musi być procesem stałym i regularnym. Wpisanym w kalendarz działaniem, które nie zależy wyłącznie od naszych chęci. Warto podążać za starą maksymą głoszącą, że lepiej zapobiegać niż leczyć.
Po co przeprowadzać audyt bezpieczeństwa?
Podstawowym celem audytu cyberbezpieczeństwa w organizacji jest zapewnienie, że systemy informatyczne, procesy czy dane polityki są odpowiednio zabezpieczone przed zagrożeniami i spełniają określone normy oraz regulacje. Istotne są więc procedury, które wdrażamy w organizacji i to, na ile odpowiedzialne osoby stosują się do wypracowanych ustaleń. Celem oceny cyberbezpieczeństwa organizacji nie jest sam rating sam w sobie. Kluczowe cele audytu to zapewnienie ochrony danych i infrastruktury, minimalizacja ryzyka operacyjnego oraz zapewnienie zgodności z regulacjami. Brak tej ostatniej może być dla organizacji kosztowny nie tyko na skutek ataku hakerskiego.
Czym jest audyt cyberbezpieczeństwa?
Naturalnie nasuwa się pytanie – wobec tego czym jest sam audyt cyberbezpieczeństwa? Audyt cyberbezpieczeństwa to proces oceny, na ile dobrze chronione są systemy komputerowe i dane w firmie lub organizacji. Osoby odpowiedzialne za proces kontroli sprawdzają, czy użytkowane oprogramowanie, hardware i procedury zapewniają odpowiednią ochronę. Znalezienie luk i słabych punktów musi kończyć się informacjami dotyczącymi tego, co i jak poprawić, żeby firma była bardziej bezpieczna.
Jak mierzyć ryzyko (dla) cyberbezpieczeństwa?
Do oceny czegokolwiek potrzebujemy jakieś uniwersalnej skali. Czegoś, co pozwoli porównać nasze wyniki z wynikami innych organizacji lub naszymi własnymi z innego okresu pomiaru. Naszą skalą mogą być ogólnie przyjęte i obowiązujące normy. W celu ujednolicenia oceny poziomu cyberbezpieczeństwa wypracowano różnego rodzaju normy narzucone odgórnie przez legislatorów, np. norma NIS2 opracowana do użytku na starym kontynencie, czy SOC2 adresowana zasadniczo do organizacji świadczących usługi w USA. Innym przykładem normy może być uniwersalna, dobrowolna norma ISO 27001. Ta ostatnia to międzynarodowy standard zarządzania bezpieczeństwem informacji. Wszystkie ww. przykładowe normy różnią się w szczegółach. Mają inne zakresy obowiązywania, inaczej adresują swoje zapisy czy nieco inaczej formułują cele, ale mają jedną oś wspólną. Wspólnym mianownikiem NIS2, SOC 2 i ISO 27001 jest ochrona danych i zarządzanie ryzykiem cyberbezpieczeństwa.
Jak przeprowadzić audyt cyberbezpieczeństwa?
Kto może przeprowadzić audyt cyberbezpieczeństwa?
Audyt może zostać wykonany przez osoby z wewnątrz organizacji, ale może zostać także powierzony audytorom zewnętrznym. Zewnętrzny audyt to zawsze większe prawdopodobieństwo obiektywności i bezstronności, wiarygodności czy świeżego spojrzenia. To także wyższe koszty i bardziej czasochłonny proces. Z kolei audyt wewnętrzny cechuje lepsza znajomość organizacji, szybszy dostęp do informacji, niższe koszty w porównaniu do audytów zewnętrznych i co wydaje się być niezmiernie istotne, możliwość ciągłego nadzoru. Audyt może być prowadzony regularnie, co pozwala na bieżąco dbać o stan bezpieczeństwa.
Jak wygląda audyt cyberbezpieczeństwa?
Sam proces audytowania możemy podzielić na kilka etapów
| Ustalenie zakresu audytu |
|
| Ocena ryzyka |
|
| Zbieranie danych |
|
| Testy techniczne |
|
| Analiza wyników |
|
| Raportowanie |
|
| Wdrożenie rekomendacji
oraz monitoring |
|
Przydatne narzędzia zaprojektowane do oceny cyberbezpieczeństwa
Ustalając nasze podatności, luki i inne braki możemy skorzystać z gotowych narzędzi. Istnieją platformy online, dzięki którym szybko można zorientować się w sytuacji w organizacji. Jedną z takich platform jest platforma SecureScorecard, którą szerzej opisałem tutaj. Opisane poniżej narzędzia wspierają audytorów w procesie oceny i monitorowania ryzyk związanych z cyberbezpieczeństwem. Dzięki platformie można ocenić firmy pod względem ich poziomu bezpieczeństwa cybernetycznego, a wszelkiego rodzaju podatności i luki będą widoczne jak na dłoni. W tym miejscu należy wrócić do tezy zamieszczonej na wstępie. Cyberbezpieczeństwo, jego kontrola i ocena to proces, który nie ma wyraźnego końca. Ze względu na nieustanne zmiany środowiska, w którym żyje organizacja, brak regularnej kontroli w tym zakresie to lekkomyślność. Tym bardziej narzędzia dostępne online wydają się być świetnym rozwiązaniem, zwłaszcza dla mniejszych organizacji. Oprócz SecureScorecard cenionymi platformami są Bitsight czy UpGuard. Wszystkie umożliwiają ocenę ryzyka cyberbezpieczeństwa, ale mają pewne kluczowe różnice w podejściu i funkcjach.
Wykrywanie zagrożeń za pomocą platform online
UpGuard koncentruje się na monitorowaniu ryzyk związanych z dostawcami oraz na ocenie własnych zabezpieczeń organizacji. Dostarcza narzędzi umożliwiających ocenę bezpieczeństwa systemów oraz takich, które pozwalają na identyfikację zagrożeń wewnętrznych. Podobnie do SecurityScorecard można też oceniać ryzyko związane z dostawcami i innymi partnerami. To pomaga zrozumieć organizacji, jak relacje mogą wpływać na bezpieczeństwo. Bitsight z kolei ocenia ryzyko na podstawie różnych czynników, w tym historii incydentów, luk w zabezpieczeniach i konfiguracji systemów. Podobnie do pierwszej z wymienionych platform zwraca ocenę (rating), która wskazuje na poziom ryzyka i co istotne, umożliwia identyfikację obszarów wymagających poprawy. Dzięki regularnemu monitorowaniu organizacje mogą szybko reagować na nowe zagrożenia i dostosowywać swoje zabezpieczenia.
Ile kosztuje audyt cyberbezpieczeństwa?
Z przyczyn oczywistych nikt nie odpowie na tak zadane pytanie. Natomiast samo pytanie jest dobrym przyczynkiem do zastanowienia się, jakie usługi i w jakim zakresie potrzebne są organizacjom. Te większe na pewno mają dużo bardziej rozbudowaną infrastrukturę, ale niekoniecznie oznacza to z automatu, że utrzymują liczne osobowo zespoły IT. Niezależnie od wielkości firmy, dobrym rozwiązaniem może okazać się zatrudnienie integratora cyberbezpieczeństwa do wykonania audytu. Zwłaszcza, jeżeli w organizacji istnieje potrzeba nie tylko zidentyfikowania słabych punktów, ale rozbudowy lub modernizacji infrastruktury – tej sprzętowej, jak i pod względem oprogramowania. Więcej o integratorach cyberbezpieczeństwa i zaletach współpracy z takimi specjalistycznymi organizacjami dowiesz się w niniejszym tekście.
W sieci, jak w życiu
Niezależnie od tego, na jakie rozwiązanie zdecyduje się organizacja, zawsze punktem wyjścia audytu jest uświadomienie sobie, że proces oceny i poprawy bezpieczeństwa nie jest sztuką dla sztuki i nie wynika jedynie z narzuconych regulacji. To przede wszystkim tworzenie bezpiecznego i zdrowego środowiska, w którym funkcjonuje przedsiębiorstwo / organizacja i ludzie. Ataki w sieci nie są medialne. Trudno wpaść z kamerą i pokazać działające na wyobraźnię zniszczenia, jak na przykład wypadek samochodowy. Historia jednak dowodzi, że w świecie przestępców cybernetycznych poziom etyki i empatii jest równie niski, co w przypadku pospolitych bandytów. W sieci w ramach zemsty za niewypłacony okup potrafią umieścić krępujące zdjęcia pacjentów onkologicznych czy doprowadzić do śmierci zwierzęcia. W takim przypadku zasada – co z oczu, to i z serca już nie działa. Warto więc mieć na względzie maksymę głoszącą – święty spokój nie ma ceny.
Redaktor Net Complex Blog
