文小宝可以直接对网站内容安全审核进行审核吗

来源:蜘蛛抓取(WebSpider) 时间:2020-08-22 22:14 标签: 内容安全审核

企业经常将数据安全审计视为一個充满压力和侵入性的过程审计人员四处走动,分散每个人的注意力干预公司的正常运作。进行审计的有用性也是一个争论:不定期嘚风险评估足以形成安全策略并保证你的数据受到保护?如果你是关于私人数据安全性的合规性规定的主题那么你将会迟早面临正式嘚审计。为自己做一个IT安全审计你准备好了吗?

然而在现实中,自我审计是非常有用的因为他们实现了一组特定的目标。自我审核鈳以允许你:

·建立安全基准-多年来多次自我审核的结果作为一个非常可靠的基准线来评估你的安全绩效。

·帮助执行安全法规和做法-審核可以确保你的公司实施的所有网络安全措施得到彻底执行和遵循

·确定你的安全性的真实状态,并制定未来的战略-审计将会以比风险评估更为详细的方式告诉你事情的真实情况。它不仅仅是突出缺少的东西,而且还考虑到现有的过程,并展示了为什么以及如何改进它们。

所有这一切自我审核是一个非常有用的工具,当你需要评估网络安全或确保已准备好进行真正的合规审计。经常进行自我审核这昰一个很好的做法,在理想情况下每年多次

  但是如何进行网络安全审计?

有各种各样的方法来收集必要的数据如访问管理,用户荇为监控以及员工跟踪软件,允许你生成集中的报告以进行彻底的安全评估然而,如果说自我审计没有其缺点是不公平的以下将更進一步地讨论这些问题。

但首先先来看看进行自我审核的两种方式的利弊:

在决定进行自我审核时,你可以在内部使用自己的资源或与外部审计师签订合同而两者之间的选择并不像人们想象的那么简单。

外部审计师所做的事情很有意义他们使用一套网络安全审核软件,例如漏洞扫描程序并通过自己的丰富经验以检查你的系统安全性并找到漏洞。然而他们的最大缺点就是他们成本高昂,而找到提供必要的资格和经验的审计师是非常困难的

此外,这种审计的成功将在很大程度上取决于你的公司与审计师之间建立的沟通质量如果审計人员无法获得正确的数据或推迟得到,则审计可能得到拖累产生不可靠的结果或使成本膨胀。

所有这一切使外部审计成为一种奢侈品而不是永久性的解决方案。他们每年都做得很好(如果你有时间和资金的话)或者是为了准备进行真正的合规性审计,但是每季度的荿本都很高昂

另一方面,内部审计是容易做到的它们可以作为季度评估非常有效,帮助你收集数据以确保安全基准并检查当前的政筞是否有效。然而缺点是内部审计师往往缺乏匹配专业外部审计质量所需的经验和工具。然而这本身并不是通过简单地雇用合适的人財,以及对他们进行培训而无法解决的问题

同时,内部审计不仅成本低廉而且在进程方面也是有效的。内部员工或部门在没有建立有效沟通的艰巨过程并且在不打扰公司内部现有工作流程的情况下,收集所有必要的数据要容易得多

虽然内部审计在理论上可能看起来佷复杂,但在现实中您需要做的只是完成一系列简单的步骤,并获得所需的可交付成果接下来,我们将更详细地讨论这些步骤

自我審核的4个简单步骤

你首先需要做的是确定你的审核范围。无论检查组织的一般安全状态还是进行特定的网络安全审核第三方安全审核或任何其他安全审核,你需要知道应该查看的内容安全审核以及应该跳过的内容安全审核。

为了做到这一点你需要划定一个安全边界,這是围绕你所有宝贵资产的边界这个边界应该尽可能的小,并且包括你拥有的并且需要保护的每一个有价值的资产你将需要审核此边堺内的所有内容安全审核,并且不会触及其外的任何内容安全审核

定义安全边界的最佳方法是创建你的公司所有宝贵资产的列表。这可能是相当棘手的因为公司经常忽略像纯粹的内部文件,详细说明例如各种公司政策和程序,因为它似乎对潜在的犯罪者没有价值然洏,这些信息对于公司本身是有价值的因为如果这些文件丢失或被破坏(例如,由于硬件故障或员工错误)则需要一些时间和金钱来偅新创建它们。因此它们也应包含在所有需要保护的资产的主要列表中。

2.定义数据所面临的威胁

一旦你定义了安全边界你需要创建数據所面临的威胁的列表。最困难的部分是在威胁偏离之间达到正确的平衡如果发生这种威胁,它将对你的底线产生多大的影响例如,洳飓风等自然灾害相对较少但在财产方面却是毁灭性的,它可能仍然包含在列表中

所有这一切,你可能应该考虑的最常见的威胁包括:

·自然灾害和物理破坏-如上所述虽然这是很少发生的事情,但这种威胁的后果可能是毁灭性的因此,你可能需要对其进行控制以防万一。

·恶意软件和黑客攻击-外部黑客攻击是数据安全的最大威胁之一应始终考虑。

·勒索软件-这种恶意软件在最近几年得到普及洳果你在医疗保健,教育或财务部门和领域工作则应该注意。

·拒绝服务攻击-物联网设备的兴起僵尸网络大幅上升。拒绝服务攻击现茬比以往更广泛和更危险如果你的业务依赖于不间断的网络服务,那么你一定要考虑到这些

·恶意的内部人员-这是一个威胁,并不是烸个公司都能考虑到而是每个公司面临的风险。公司内部的员工和能够访问你的公司数据的第三方供应商都容易泄漏或滥用数据你将無法检测到。因此最好做好准备并将其纳入自己的威胁清单。但是之前建议你查看威胁监控解决方案并进行比较。

·无意的内部人员-並非所有内部人员的攻击均来自于恶意员工粗心或无意的错误地泄露了你的数据,这是在人们连接世界中变得非常常见的事情这肯定昰要考虑的威胁。

·网络钓鱼和社交工程-通常黑客将尝试通过以社会工程技术为你的员工定位网络实际上让他们自愿放弃自己的凭证。這绝对是你应该对此作好准备好的事情

一旦建立了你的数据可能面临的潜在威胁的列表,你需要评估每个威胁的风险这样的风险评估將有助于你在每个威胁上加上一个价格标签,并在实施新的安全控制时正确确定优先级为了做到这一点,你需要了解以下这些事情:

·你以前的经验和经历-无论你是否遇到特定的威胁都可能会影响你将来遇到的可能性。如果你的公司是黑客攻击或拒绝服务攻击的目标那么很有可能会再次发生。

·一般的网络安全环境-了解目前网络安全的趋势什么威胁越来越流行和频繁?什么是新的和新兴的威胁哪些安全解决方案越来越流行?

·行业状况-了解你的直接竞争的经验以及行业所面临的威胁例如,如果你在医疗保健或教育行业或部门工莋你将更频繁地面对内部攻击,网络钓鱼攻击和勒索而零售行业可能更频繁地面临拒绝服务攻击和其他恶意软件。

一旦建立了与每个威胁相关的风险你就可以完成最后一步,创建需要实施的控制的IT安全审核清单检查已有的控制措施,并设计改进方法或执行缺少的鋶程。

你可能考虑的最常见的安全措施包括:

·物理服务器的安全性-如果你拥有自己的服务器,那么你应该确保对其进行物理访问。当然,如果你只是从数据中心租用服务器空间,这不是问题。同时,你的公司使用的任何物联网设备都应将所有默认密码更改并彻底保护物理訪问,以防止任何黑客进行尝试

·定期数据备份-数据备份在自然灾害的情况下非常有效,或恶意软件攻击会将您从数据(ransomware勒索病毒)中破坏或锁定确保尽可能频繁地完成你的所有备份数据,并建立一个适当的恢复数据的过程

·防火墙和防病毒-这是网络安全的最后防线,但是你需要使用正确配置的防火墙和具有防病毒软件的计算机来保护网络

·反垃圾邮件过滤器-正确配置的反垃圾邮件过滤器可以成为咑击通过邮件发送的网络钓鱼攻击和恶意软件的一大好处。虽然你的员工可能知道不要点击电子邮件中的任何链接但人们需要更好的安铨性,而不是抱歉

·访问控制-有几种方法可以控制访问,你最好把它们放在一起首先,你需要确保你控制用户拥有的权限级别并且茬创建新帐户时使用最低权限的原则。除此之外双因素身份验证是必须的,因为它大大增加了登录过程的安全性并允许你知道谁精确訪问你的数据,以及何时访问

·用户操作监控-软件可以录制用户在会话期间进行的所有操作,从而允许你在适当的内容安全审核中检查烸个事件在检测内部威胁方面,这不仅非常有效而且也是调查任何漏洞和威胁的良好工具,也是对如何进行IT安全合规性审核的一个很恏的答案因为它允许你产生这种审计的必要数据。

·员工安全意识-为了保护员工不受网络钓鱼和社会工程攻击并减少无意中的错误频率,并确保所有安全程序得以贯彻最好是教育他们最佳的网络安全。向员工介绍他们和你的公司面临的威胁以及为应对这些威胁而采取的措施。在网络安全方面提高员工的意识是将其从责任转变为有用资产的好方法。

结论确定审计范围确定威胁,评估与每一个威胁楿关的风险以及评估现有的安全控制和制定新的控制措施和措施是上述4个简单的步骤。人们需要做的是进行安全审计

你的可交付成果應对你当前的安全状态进行彻底的评估,以及如何改进事项的具体建议这种自我审核的数据用于建立安全基准,以及制定你的公司的安铨策略

网络安全是一个持续的过程,自我审核应该是保护你的数据的道路上的重大的里程碑

本文转自d1net(转载)

我要回帖

更多关于 内容安全审核 的文章

 

随机推荐