Одна из главных ошибок руководителей — считать, что аудит безопасности — это сугубо техническая процедура, которую можно поручить штатному системному администратору. На самом деле комплексная экспертиза информационной безопасности включает в себя три ключевых направления: техническое, процессное и человеческое. Без анализа каждого из них невозможно получить достоверную картину защищенности компании.
Технические системы:
Здесь эксперт проверяет аппаратное и программное обеспечение. Оцениваются межсетевые экраны, системы обнаружения вторжений, антивирусные комплексы, настройки серверов и рабочих станций, безопасность беспроводных сетей, защита мобильных устройств. Специалист выясняет, есть ли неисправленные уязвимости в используемом программном обеспечении, правильно ли настроены права доступа к файловым ресурсам, используются ли средства шифрования для данных, передаваемых по открытым каналам.
Процессы:
Это регламенты, инструкции, политики безопасности. Эксперт изучает, как именно происходит предоставление доступа новому сотруднику, как увольняют работников (блокируют ли их учетные записи в день увольнения), как оформляются инциденты безопасности, проводится ли обучение персонала. Очень часто оказывается, что технически система защищена отлично, но из-за плохо прописанного процесса реагирования на инцидент, злоумышленник успевает нанести урон до того, как сработает сигнализация.
Человеческий фактор:
Самый непредсказуемый элемент. Согласно мировой статистике, более 80 процентов утечек данных происходят по вине сотрудников, действующих умышленно или по неосторожности. В ходе аудита эксперт может провести анонимное анкетирование, оценить уровень грамотности персонала в вопросах кибергигиены, проверить, как сотрудники обращаются с паролями, хранят ли бумажные носители с данными на видном месте. В некоторых случаях проводятся специальные тесты на проникновение социальной инженерией — например, попытка убедить секретаря передать конфиденциальные сведения по телефону.
Итог комплексной оценки: Эксперт составляет карту рисков, где каждый недостаток ранжируется по вероятности реализации и потенциальному ущербу. Только после этого можно говорить о выработке стратегии защиты. Например, может оказаться, что самые дорогие технические средства неэффективны, пока сотрудники в открытую пересылают пароли в мессенджерах.