Molts empresaris estan intentant mantenir en secret la seva empresa. Com que el segle és l’època de l’alta tecnologia, és força difícil de fer. Gairebé tothom tracta de protegir-se de la filtració d’informació corporativa i personal, però no és cap secret que no sigui difícil per a un professional esbrinar les dades necessàries. Actualment, hi ha molts mètodes que protegeixen contra aquests atacs. Però, per verificar l'eficàcia d'un sistema de seguretat, és necessari realitzar una auditoria de seguretat de la informació.
Què és una auditoria?
Segons la Llei Federal "sobre Auditoria", una auditoria inclou diversos mètodes i mètodes, així com la implementació pràctica de les inspeccions. Quant a la seguretat de la informació de l'empresa, es tracta d'una avaluació independent de l'estat del sistema, així com del nivell de compliment dels requisits establerts. Es realitzen exàmens sobre informes comptables i fiscals, suport econòmic i activitats financeres i econòmiques.
Per què és necessària una comprovació?
Alguns consideren que aquesta activitat és una pèrdua de diners. No obstant això, identificant els problemes d’aquest sector de manera puntual, es poden evitar pèrdues econòmiques encara més grans. Els objectius d’una auditoria de seguretat de la informació són:
- determinació del nivell de protecció i apropament al necessari;
- liquidació financera en termes d’assegurar la confidencialitat de l’organització;
- demostració de la viabilitat d’invertir en aquest sector;
- Obtenir el màxim partit dels vostres costos de seguretat
- confirmació de l'efectivitat de les forces internes, els mitjans de control i la seva reflexió sobre la conducta del negoci.
Com s'audita la seguretat de la informació en una empresa?
Una auditoria integral de la seguretat de la informació té lloc en diverses etapes. El procés es divideix en organitzatiu i instrumental. En el marc de les dues parts del complex, es fa un estudi de la seguretat del sistema d’informació corporativa del client i, a continuació, es determina el compliment dels estàndards i els requisits establerts. Una auditoria de seguretat de la informació es divideix en les següents etapes:
- Determinació dels requisits i l'abast del treball.
- Estudiar els materials necessaris i treure conclusions.
- Anàlisi de possibles riscos.
- Opinió dels experts sobre la feina feta i l'emissió del veredicte oportú.
Què s’inclou a la primera etapa d’una auditoria de seguretat de la informació?
El programa d’auditoria de seguretat de la informació comença precisament amb aclarir la quantitat de treball que requereix el client. El client expressa la seva opinió i la seva finalitat, i va sol·licitar la seva valoració pericial.
En aquesta fase, ja comença la verificació de les dades generals que proporciona el client. Es descriuen els mètodes que s’utilitzaran i el conjunt de mesures planificat.
La tasca principal en aquesta etapa és establir un objectiu específic. El client i l’organització que realitza l’auditoria s’han d’entendre, acordar una opinió comuna. Un cop constituïda la comissió, la composició de la qual és seleccionada pels especialistes adequats. Les especificacions tècniques requerides també s’acorden separadament amb el client.
Sembla que aquest esdeveniment només hauria de perfilar l'estat del sistema que protegeix contra els atacs d'informació. Però els resultats finals de la prova poden ser diferents.Alguns estan interessats en obtenir informació completa sobre el treball dels equips de protecció de l’empresa del client, mentre que d’altres només els interessa l’eficiència de les línies de tecnologia de la informació individuals. L'elecció dels mètodes i els mitjans d'avaluació depèn dels requisits. La definició d'objectius també afecta el desenvolupament de la comissió d'experts.
Per cert, el grup de treball està format per especialistes de dues organitzacions: l'empresa que realitza l'auditoria i els empleats de l'organització auditada. De fet, aquests últims, com ningú més, coneixen les complexitats de la seva institució i poden proporcionar tota la informació necessària per a una avaluació completa. També realitzen una mena de control sobre la feina dels empleats de l'empresa executora. La seva opinió es té en compte a l’hora de fer els resultats de l’auditoria.
Els experts de l'empresa que duen a terme una auditoria de la seguretat de la informació de l'empresa participen en l'estudi de les àrees temàtiques. Tenint un nivell de qualificació adequat, així com una opinió independent i imparcial, són capaços de valorar amb més precisió l’estat de treball dels equips de protecció. Els experts duen a terme les seves activitats d’acord amb el pla de treball i els objectius previstos. Desenvolupen processos tècnics i coordinen els resultats entre ells.
Els termes de referència fixen clarament els objectius de l’auditor, determina els mètodes per a la seva implementació. També explica el calendari de l’auditoria, fins i tot és possible que cada etapa tingui el seu propi període.
En aquesta fase, es posa en contacte el servei de seguretat de la institució auditada. L’auditor té l’obligació de no divulgar els resultats de l’auditoria.
Com és la implementació de la segona etapa?
Una auditoria de la seguretat de la informació d'una empresa de la segona etapa és una col·lecció detallada d'informació necessària per a avaluar-la. Per començar, considerem un conjunt general de mesures destinades a implementar una política de privadesa.
Atès que ara la majoria de les dades es dupliquen de forma electrònica, o, en general, l’empresa desenvolupa les seves activitats només amb l’ajut de la tecnologia de la informació, el programari també queda sota la prova. També s’està analitzant la seguretat física.
En aquesta fase, els especialistes es comprometen a revisar i avaluar com es garanteix i audita la seguretat de la informació a la institució. Per això, l’organització del sistema de protecció, així com les capacitats i condicions tècniques per a la seva prestació, es presta a l’anàlisi. Es dóna una atenció especial al darrer punt, ja que els defraudadors solen trobar incompliments en la protecció precisament a través de la part tècnica. Per aquesta raó, es consideren per separat els punts següents:
- estructura del programari;
- configuració de servidors i dispositius de xarxa;
- mecanismes de privadesa.
L’auditoria de la seguretat de la informació de l’empresa en aquesta fase finalitza amb un informe i expressió dels resultats del treball realitzat en forma d’informe. Són les conclusions documentades que constitueixen la base per a la implementació de les següents etapes de l’auditoria.
Com s’analitzen els possibles riscos?
També es realitza una auditoria de seguretat de la informació de les organitzacions per identificar amenaces reals i les seves conseqüències. Al final d’aquesta etapa, s’hauria de formar una llista de mesures que eviti o, com a mínim, minimitzi la possibilitat d’atacs d’informació.
Per evitar infraccions de privadesa, heu d'analitzar l'informe rebut al final del pas anterior. Gràcies a això, és possible determinar si és possible una intrusió real a l’espai de l’empresa. Es dictà un veredicte sobre la fiabilitat i el rendiment dels equips tècnics de protecció existents.
Com que totes les organitzacions tenen diferents àrees de treball, la llista de requisits de seguretat no pot ser idèntica.Per a la institució auditada, una llista es desenvolupa individualment.
Les febleses també s’identifiquen en aquesta fase i es proporciona al client informació sobre possibles atacants i amenaces imminents. Aquest últim és necessari per saber de quin costat esperar el truc i per prestar més atenció.
També és important que el client conegui quina eficàcia seran les innovacions i els resultats de la comissió d’experts.
L'anàlisi de possibles riscos té els següents objectius:
- classificació de fonts d'informació;
- identificació de vulnerabilitats en el flux de treball;
- prototip d’un possible estafador.
L’anàlisi i l’auditoria permeten determinar com és possible l’èxit dels atacs d’informació. Per això, s’avalua la criticitat de les debilitats i la manera d’utilitzar-les amb finalitats il·legals.
Quina és l’etapa final de l’auditoria?
L’última etapa es caracteritza per la redacció dels resultats del treball. El document que surt es diu informe d'auditoria. Es consolida la conclusió sobre el nivell general de seguretat de l’empresa auditada. Per separat, hi ha una descripció de l'eficàcia del sistema de tecnologia de la informació en relació amb la seguretat. L’informe proporciona orientacions sobre possibles amenaces i descriu un model d’un possible atacant. També explica la possibilitat d’intrusisme no autoritzat a causa de factors interns i externs.
Els estàndards d’auditoria de seguretat de la informació no només proporcionen una avaluació de l’estat, sinó que també donen recomanacions per part d’una comissió experta sobre les activitats necessàries. Els experts que han realitzat el treball integral, han analitzat la infraestructura d’informació, qui pot dir què cal fer per protegir-se del robatori d’informació. Indicaran els llocs que cal reforçar. Els experts també proporcionen orientació sobre suport tecnològic, és a dir, equips, servidors i tallafocs.
Les recomanacions són aquells canvis que cal fer en la configuració dels dispositius i servidors de xarxa. Potser les instruccions es relacionaran directament amb els mètodes de seguretat seleccionats. Si és necessari, els experts prescriuen un conjunt de mesures destinades a reforçar encara més els mecanismes que proporcionen protecció.
L’empresa també hauria de realitzar treballs de divulgació especial i desenvolupar una política orientada a la confidencialitat. Potser s’haurien d’implementar reformes de seguretat. Un punt important és la base reguladora i tècnica, que està obligada a consolidar les disposicions sobre seguretat de l'empresa. L’equip ha d’estar instruït adequadament. Tots els empleats es comparteixen les àrees d’influència i la responsabilitat assignada. Si escau, és millor realitzar un curs per millorar l'educació de l'equip en matèria de seguretat de la informació.
Quins tipus d’auditoria existeixen?
L’auditoria de la seguretat de la informació d’una empresa pot ser de dos tipus. Depenent de l'origen d'aquest procés, es poden distingir els següents tipus:
- Forma externa. Difereix que és d’un sol ús. La seva segona característica és que es produeix a través d’experts independents i imparcials. Si és de caràcter recomanatiu, el propietari de la institució ho ordena. En alguns casos, cal una auditoria externa. Això pot ser degut al tipus d’organització, així com a circumstàncies extraordinàries. En aquest darrer cas, els iniciats d’una auditoria, per regla general, són organismes d’ordenació.
- Forma interior. Es basa en una disposició especialitzada que prescriu la realització d’auditoria. És necessària una auditoria interna de seguretat de la informació per controlar constantment el sistema i identificar vulnerabilitats.És una llista d'esdeveniments que tenen lloc en un període de temps determinat. Per a aquesta tasca, sovint s’estableix un departament especial o un empleat autoritzat. Ell diagnostica l’estat dels equips de protecció.
Com es realitza una auditoria activa?
En funció del que persegueix el client, també s’escullen els mètodes d’auditoria de seguretat de la informació. Una de les maneres més habituals d’estudiar el nivell de seguretat és una auditoria activa. És una declaració d’un atac real de pirates informàtics.
L’avantatge d’aquest mètode és que permet la simulació més realista de la possibilitat d’una amenaça. Gràcies a una auditoria activa, podeu comprendre com es desenvoluparà una situació similar a la vida. Aquest mètode també s’anomena anàlisi de seguretat instrumental.
L’essència d’una auditoria activa és la implementació (utilitzant programari especial) d’un intent d’intrusisme no autoritzat en un sistema d’informació. Al mateix temps, els equips de protecció han d'estar en plena preparació. Gràcies a això, és possible avaluar el seu treball en aquest cas. A una persona que realitza un atac de pirateria artificial se li proporciona un mínim d’informació. Això és necessari per recrear les condicions més realistes.
Intenten exposar el sistema a tants atacs com sigui possible. Mitjançant diferents mètodes, podeu avaluar els mètodes de pirateria als quals el sistema està més exposat. Això, per descomptat, depèn de les qualificacions de l’especialista que realitzi aquest treball. Però les seves accions no han de ser de tipus destructor.
En definitiva, l’expert genera un informe sobre les debilitats del sistema i la informació que és més accessible. També proporciona recomanacions sobre possibles actualitzacions, que haurien de garantir una major seguretat al nivell adequat.
Què és una auditoria experta?
Per determinar el compliment de l'empresa amb els requisits establerts, també es realitza una auditoria de seguretat de la informació. Al mètode expert, es pot veure un exemple d'aquesta tasca. Consisteix en una avaluació comparativa amb les dades de la font.
Aquest treball de protecció molt ideal es pot basar en diverses fonts. El propi client pot establir requisits i fixar objectius. El cap de l'empresa pot voler saber fins a quin punt el nivell de seguretat de la seva organització es troba respecte del que vol.
El prototip contra el qual es realitzarà una avaluació comparativa poden ser estàndards internacionals generalment reconeguts.
Segons la Llei Federal "sobre Auditoria", l'empresa executora té prou autoritat per recopilar informació rellevant i concloure que les mesures existents per assegurar la seguretat de la informació són suficients. També s’avalua la coherència dels documents normatius i l’actuació dels empleats respecte al funcionament d’equips de protecció.
Què és la comprovació del compliment?
Aquesta espècie és molt similar a l’anterior, ja que la seva essència també és una avaluació comparativa. Però només en aquest cas, el prototip ideal no és un concepte abstracte, sinó els requisits clars consagrats a la documentació i normes normatives i tècniques. Tanmateix, també determina el grau de compliment del nivell especificat per la política de privadesa de l'empresa. Sense complir aquest moment, no podrem parlar de treballs posteriors.
Molt sovint aquest tipus d'auditoria és necessària per a la certificació del sistema de seguretat existent a l'empresa. Això requereix l’opinió d’un expert independent. Aquí, no només el nivell de protecció és important, sinó també la seva satisfacció amb els estàndards de qualitat reconeguts.
Així, podem concloure que per dur a terme aquest tipus de procediments, haureu de decidir sobre l’executor, i també ressaltar el ventall d’objectius i objectius en funció de les vostres necessitats i capacitats.