Audyty zapobiegają zagrożeniom informatycznym, zanim te zdążą się zmaterializować. Biorąc pod uwagę skalę dzisiejszych problemów z bezpieczeństwem IT, jest to więc bardzo ważny element zapewnienia ochrony firmowym systemom informatycznym.
Audyt bezpieczeństwa IT to proces, który umożliwia wykrycie podatności urządzeń sieciowych, aplikacji czy systemów operacyjnych wykorzystywanych w firmie. Jest to ważne zadanie, ponieważ bez znajomości słabości swoich systemów IT nie da się skutecznie chronić wrażliwych danych. Są również inne przesłanki, aby przeprowadzać audyty: przepisy prawa, wewnętrzne regulacje, przypadki naruszenia bezpieczeństwa firmowych systemów IT, ubieganie się o określony certyfikat czy fuzja dwóch firm.
Po co mi to?
Cele audytów bezpieczeństwa można podzielić na dwa obszary: technologiczny i biznesowy. Do korzyści technologicznych zalicza się zbudowanie rzeczywistego obrazu stanu firmowych zabezpieczeń. Testy prowadzone podczas audytu umożliwią zasymulowanie włamania i ocenę jego skutków. Dzięki audytowi można również wdrożyć nowe lub udoskonalić istniejące systemy zabezpieczeń.
Od strony biznesowej najważniejszą korzyścią jest uniknięcie potencjalnych strat finansowych, np. wynikających z kradzieży danych, utraty reputacji czy spadku wartości marki. Audyt pomoże też w wyegzekwowaniu od pracowników przestrzegania zasad bezpieczeństwa. Jest to również sposób, aby zweryfikować zgodność firmowych systemów IT z wymaganiami narzucanymi przez regulacje prawne. Na koniec, jest to także metoda, aby efektywnie kosztowo poprawić zabezpieczenia.
Warto zaplanować regularne powtarzanie audytów. Firmowe środowiska IT podlegają bowiem ciągłym zmianom – pojawiają się nowe urządzenia i oprogramowanie, zmieniają się też konfiguracje. Przed rozpoczęciem audytu trzeba określić układ sieci: zebrać informacje o systemach operacyjnych, urządzeniach, oprogramowaniu, zainstalowanych aktualizacjach. Bez tych ważnych informacji audyt nie przyniesienie wartościowych wniosków.
W ramach audytu mogą być przeprowadzane różne testy bezpieczeństwa: skanowanie podatności, testy penetracyjne, ataki DDoS, ataki socjotechniczne (badanie odporności na ataki czynnika ludzkiego) czy statyczna analiza kodu źródłowego. W ten sposób można znaleźć bardzo różne podatności:
- Działające usługi – usługa uruchomiona na urządzeniu sieciowym może być wykorzystana przez hakerów do spenetrowania systemów. Solidny audyt umożliwia sporządzenie listy wszystkich działających usług i wytypowanie niepotrzebnych w celu ich wyłączenia. To przełoży się na obniżenie ryzyka dojścia do udanego ataku.
- Otwarte porty – audyt zidentyfikuje otwarte porty w różnych urządzeniach sieciowych, co umożliwia zamknięcie tych portów, które nie są potrzebne.
- Udziały sieciowe – udostępnione katalogi to potencjalna droga ataku, więc powinny być używane tylko, jeśli jest taka potrzeba.
- Hasła – audyt służy również do oceny firmowych reguł tworzenia haseł. Umożliwia sprawdzenie, czy stosowane hasła są wystarczające silne i zmieniane w regularnych odstępach czasu.
- Konta użytkowników – częścią audytu bezpieczeństwa jest określenie, które konta użytkowników nie są już używane i można je wyłączyć lub usunąć. Nieużywane konta użytkowników to bowiem zaproszenie dla hakera, aby przejąć takie konto.
- Nieuprawnione urządzenia – nie objęte firmowymi zabezpieczeniami urządzenia użytkowników, jak smartfony czy punkty dostępowe Wi-Fi muszą zostać wykryte podczas audytu. Każde z tych urządzeń może zostać wykorzystane do włamania.
- Aplikacje – audyt zidentyfikuje aplikacje, które są aktualnie używane. Jeśli zostanie wykryta jakaś niebezpieczna aplikacja, należy ją natychmiast zatrzymać.
W ramach testów można też zweryfikować poprawność działaniu szeregu mechanizmów, np. uwierzytelniania (potwierdzania tożsamości użytkownika i weryfikacji praw dostępu). Możliwe jest również sprawdzenie poziomu dostępności różnych zasobów i oraz potwierdzenie, czy mogą z nich korzystać wyłącznie uprawnieni użytkownicy.
Czynnik ludzki
Pracownicy to największa wartość firmy, ale jednocześnie najsłabszy element bezpieczeństwa podatny na ataki. Obecnie jest to najczęstszy cel cyberprzestępców. Z tego powodu ważnym elementem audytu powinno być sprawdzenie, w jakim zakresie badana organizacja dba o podnoszenie świadomości wszystkich swoich pracowników na tematy związane z bezpieczeństwem IT. Chodzi przede wszystkim o szkolenie typu Security Awareness adresowane do nietechnicznych pracowników, a uczące podstawowych, dobrych zasad bezpiecznego korzystania z komputerów i pokazujące, jakie są współczesne zagrożenia.
Wnioski z audytu
Raport, który powstanie na podstawie testów i działań kontrolnych, pokaże, czy środki bezpieczeństwa zostały odpowiednio dobrane i prawidłowo skonfigurowane. Pokaże także, czy chroniony zasób zawiera luki umożliwiające atak. Co istotne, audyt bezpieczeństwa należy powtarzać regularnie, w przeciwnym razie nowe podatności w nowych urządzeniach lub aplikacjach nie zostaną wykryte. Ręczne przeprowadzanie audytu jest ryzykowne. Jeśli nie zostaną uruchomione określone skanery podatności, łatwo przeoczyć jakąś lukę lub szkodliwy kod. Takie testy można łatwo powtarzać i obejmować nimi znaczną ilość zasobów. Warto jednak automatyczne testy uzupełnić o ręczne sprawdzenie, np. nietypowych zasobów czy logiki biznesowej.
Audyt bezpieczeństwa to ważny i złożony proces. Dlatego powszechną praktyką jest powierzanie jego przeprowadzenia zewnętrznym firmom, które dysponują doświadczoną kadrą oraz wysokiej klasy narzędziami. Klient może również liczyć na realizację usług zgodnie z parametrami zapisanymi w umowie SLA.
