1

Аудит кібербезпеки: більше, ніж заповнений опитувальник

При слові «аудит» перше, що спадає на думку – фінансові аудитори, які перевіряють звітність та іншу документацію в компанії. Проте коли ми говоримо про аудит інформаційних технологій, інформаційної безпеки або кібербезпеки, багато хто жартує про консультантів, які розповідають одне й те саме, надають поради без практичної користі, розмиті рекомендації, які клієнт міг би написати сам. Ситуація трохи змінилася з появою галузевих стандартів на кшталт PCI DSS, HIPAA та інших. З’явилося поняття аудиту на відповідність вимогам конкретного стандарту і відповідної сертифікації. Однак, такі аудити суворо обмежені сферою дії (охопленням) конкретного стандарту і не можуть відображати повної картини захищеності компанії.

Аудит кібербезпеки – проект набагато ширше галузевого аудиту на відповідність або перевірки впроваджених заходів безпеки з контролю поширення стандартів, наприклад, сімейства ISO27000. Це комплексна оцінка захищеності компанії, яка включає в себе:

  • Аудит бізнес-процесів компанії та організаційної структури

  • Аудит процесів кібербезпеки

  • Оцінку технічної захищеності (сканування і тестування на проникнення)

  • Оцінку стійкості компанії до соціальної інженерії

  • Аудит «тіньових» інформаційних технологій

  • Аудит безпеки процесів аутсорсингу

Перший етап аудиту кібербезпеки – це знайомство з бізнесом компанії, колективом і структурою управління в компанії. Цей етап, який зазвичай оминають аудитори ІТ та інформаційної безпеки, критично важливий для кібербезпеки. Він обґрунтовує розвиток кібербезпеки компанії не як витратну складову, а як невід’ємну частину розвитку бізнесу. Фундаментальним етапом аудиту бізнесу і бізнес-процесів є оцінка ризиків (або аналіз існуючих моделей і карти ризиків). Результатом етапу є розуміння того, як працює компанія, а також перелік критично важливих процесів і найбільш небезпечних ризиків для компанії. Ключовим тут є важливість і критичність результатів саме для бізнесу і компанії, а не просто стійкість інформаційних технологій або розвиток інфраструктури і «безпеки в цілому».

Важливою частиною аудиту є аналіз процесів управління і забезпечення кібербезпеки в компанії. У сучасній компанії сфера дії кібербезпеки, як правило, розподілена між цілою низкою департаментів: інформаційних технологій, інформаційної безпеки, управління відповідністю, управління кадрами, службою безпеки, внутрішнім аудитом і ще рядом інших підрозділів, які безпосередньо та опосередковано впливають на рівень кіберзахищеності. Оцінка ефективності та зрілості процесів управління кібербезпекою і взаємодії всіх цих елементів – основа проактивної роботи і ефективного реагування в разі кіберінцидентів або під час кібератаки. Результатом етапу є карта розвитку існуючих і впровадження нових процесів, які повинні забезпечити необхідний рівень кіберзахищеності бізнесу.

Технічна складова аудиту кібербезпеки також ширше, ніж просто інвентаризація програмних та апаратних засобів безпеки з вибірковим переглядом налаштувань. Це, в тому числі, зовнішнє і внутрішнє сканування для визначення вразливостей (навіть за наявності відповідного процесу та інструментів в компанії), а також проведення тестування на проникнення ззовні і зсередини компанії. Така незалежна оцінка має ще більший ефект, якщо проводиться «хвилею». Спочатку проводиться тестування на проникнення «наосліп» (Blackbox), потім проводиться аудит засобів безпеки і налаштувань, а потім проводиться «біле» тестування на проникнення (Whitebox) з усіма конфігураціями і доступами на руках. Результати етапу будуть цікаві технічним підрозділам і фахівцям, які матимуть практичну користь з рекомендацій, складених консультантами і «білими» хакерами.

Окремою задачею іноді виділяють також перевірку стійкості компанії до елементів соціальної інженерії: фішинг та вішинг. Дана перевірка – творча, отже, її результат багато в чому, залежить не від налаштувань технічних засобів безпеки, а від підготовки співробітників компанії до таких дій з боку зловмисників. Залежно від специфіки проекту можуть проводитися масові фішингові розсилки або персоналізовані, так звані spear-фішингові розсилки, які фокусуються на конкретних співробітників компанії з найцікавішими доступами і правами.

У сучасному офісі можна часто побачити масу технічних пристроїв, які не належать до розряду корпоративних. А іноді концепція «принеси свій пристрій» (bring your own device, BYOD) зовсім стирає поняття корпоративних технологій, що часто призводить до хаосу з точки зору контролю. В рамках аудиту кібербезпеки окремим процесом проводиться аудит «тіньових» інформаційних технологій для виявлення несанкціонованих програмних і апаратних продуктів в компанії, які можуть використовуватися або вже використовуються зловмисниками.

З огляду на кількість реалізованих атак і загроз з боку постачальників, з якими працює компанія – аудит безпеки аутсорсингу є ключовим модулем аудиту кібербезпеки. Те, що ми описуємо його останнім, зовсім не означає, що це найменше за кількістю необхідних ресурсів або за важливістю завдання. Для великих і середніх за розміром компаній аудит аутсорсингу рекомендується виносити в окремий проект. В розрізі кібербезпеки це не тільки сторонні розробники або системні адміністратори, що «приходять-йдуть». Навіть аутсорсинг клінінгової компанії для прибирання офісу – ризик для вашої компанії, який можна цілком конкретно оцінити і яким можна керувати. Аудит аутсорсингу – це перевірка існуючих контрагентів та умов роботи з ними, а також процесу залучення нових підрядників і виконавців до роботи з компанією.

У підсумку, аудит кібербезпеки – це складний, комплексний проект, який можна виконувати, як цілком, так і окремими модулями. Основна відмінність такого виду робіт від «аудиту захищеності» або «аудиту ІБ» – всебічні рекомендації як практичного, так і методологічного характеру, перевірка відповідності регуляторним нормам і навіть оцінка безпеки роботи з контрагентами. Такий аудит сянає за межі сфери інтересів департаментів інформаційних технологій та інформаційної безпеки. Тому він є сферою інтересів вищого керівництва компанії, адже вони отримують зрозумілу їм оцінку захищеності компанії, а також інформацію для стратегічного планування бізнесу в сучасних «кібер»-реаліях.

Related Posts

card__image

Управління ІТ активами – більше, ніж інвентаризація

Інформаційні технології (ІТ) і департаменти, відповідальні за їх експлуатацію в компанії, довгий час сприймали як витрати і тільки. Про те, щоб поєднати «актив» з ІТ, навіть не йшлося. Директори з ІТ звично боролися на нарадах і радах директорів за право на існування і розвиток, оскільки всім заправляли бізнес підрозділи. Минули роки, бізнес оцифрувався і став […]

card__image

Кіберстрахування. Cтрахуємо ризики, але не чекаємо на диво

Перші страхові продукти для покриття збитків від помилок і проблем, пов’язаних з інформаційними технологіями, з’явилися ще у 1980х роках. Пізніше у 90–х роках ці продукти сформували окрему нішеву галузь у страховому бізнесі, і пережили пік своєї популярності в очікуванні та побоюваннях Y2K (помилки, пов’язаної з переходом у 2000, тобто потенційною відмовою обчислювальних технологій, які, з […]

card__image

Кібербезпека у 2019: чого чекаємо ми і що чекає на нас?

2018 рік вже назвали «роком технологічних скандалів». Важко згадати хоча б одну індустрію, що не потрапила б на перші шпальти провідних видань через проблеми з кібербезпекою. Згадайте тільки кількість топ-брендів, що постраждали внаслідок внутрішніх та зовнішніх кібератак, витоку інформації, порушення регуляторних вимог і т.д. Сотні мільйонів записів даних клієнтів були скомпрометовані (а якщо відверто – […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *