Comment mener un audit de sécurité

audits de sécurité des technologies de l'information sont essentiels. Ils ne sont pas des mesures de sécurité ponctuels, mais quelque chose de votre entreprise devraient faire au moins annuellement. Même si vous aviez la sécurité du réseau parfaite l'an dernier, les pirates venir avec de nouveaux outils, et votre entreprise peuvent avoir fait de nouvelles erreurs. Dans certains secteurs, les règlements fédéraux énoncent les exigences de vérification. Si aucune réglementation applicables, il est à vous de décider comment exécuter la vérification.

Sommaire

Recrutez un outsider
Prep pour les audits
Faire une évaluation
Trouver des solutions
Établir une base

Recrutez un Outsider

La plupart des contrôles de sécurité reposent sur un vérificateur externe. Votre maison en personnel informatique a déjà beaucoup à faire, et un outsider peut repérer les faiblesses de vos gens ont négligés. Bons auditeurs sont des professionnels chevronnés en sécurité informatique, qui savent exactement ce qu'il faut chercher. Pour tirer le meilleur parti d'un auditeur, vous devez fixer des objectifs précis. Vous voudrez peut-être une vérification annuelle de regarder à chaque vulnérabilité possible. Dans entre les audits, vous pouvez avoir un objectif plus limité, comme l'analyse de la performance d'un nouveau pare-feu.

Prep pour les audits

Préparation d'un audit est une grande partie de ce qui en fait un succès. Vous avez à construire le coût d'une vérification dans votre budget, et à le programmer pour un temps lors de la vérification du réseau ne sera pas interférer avec les opérations critiques. Choisissez quelqu'un sur votre personnel à prendre le point sur le projet, en collaboration avec l'auditeur et de rester informé sur les règlements d'audit qui affectent votre entreprise. Lorsque l'auditeur arrive, vous devriez être en mesure de lui présenter tous vos documents - des stratégies informatiques et des procédures, des diagrammes de flux - dans un seul dossier.

Faire une évaluation

La première étape de l'audit est d'évaluer votre sécurité, identifier les problèmes et de les analyser. Cela comprend en regardant les faiblesses de votre réseau, votre système d'exploitation et votre logiciel. Il comprend également le facteur humain - par exemple, si la moitié de votre personnel ont ramassé un mot de passe facilement modifiable, comme leurs anniversaires. L'évaluation peut aussi regarder comment sécuriser votre réseau est lorsque les employés accèdent à la maison, et si quelqu'un a mis en place une dérivation de réseau pratique, mais non autorisée.

Trouver des solutions

Un bon auditeur ne sera pas seulement identifier les problèmes, elle vous dira comment les corriger. Cela peut être quelque chose de remplacement de votre pare-feu à l'évolution de vos politiques de mot de passe. Correctifs critiques sont les failles de sécurité graves - ceux qui pourraient vous aider poursuivi, par exemple - qui doivent être fixe ASAP. D'autres changements sont moins urgents, mais facile à faire à la fois, telles que la suppression des informations d'identification de journaux dans des ex-employés du système. Vous pouvez reporter la fixation d'autres problèmes, moins urgents que plus tard.

Établir une base

Une fois que vous avez accompli un audit annuel complet, qui rend la conduite plus facile la prochaine. Le résultat de la première vérification vous donne une base de référence, vous pouvez mesurer les résultats futurs contre. Par exemple, si votre vérificateur recommande un changement des politiques log-in ou d'accès à distance, vous pouvez faire ces changements une référence à atteindre avant la prochaine vérification. Si la vérification de suivi montre que vos problèmes ne sont pas fixés, cela peut indiquer un problème plus profond de la façon dont votre entreprise fonctionne.

éditer dans sélectionné imprimer

Les sujets:

Réponses populaires

Questions connexes