Кучевые АйТи
@oblakoteka
Подождите, это еще не все
Дождались важных дядечек в костюмах, документы подготовили, политики подписали и выдохнули. Можно вешать сертификат соответствия в рамочку и менять пароль назад на qwerty123, а то запомнить сложно.
А что, если мы скажем, что удачный ИБ-аудит — это не гарантия безопасности? Злоумышленники не читают наши отчеты и не ставят галочки по чек-листу. Они ищут уязвимости, которых в формальной проверке могли просто не заметить.
Почему ИБ-аудит не спасает от атак?
Атакующий действует творчески: ищет слабое звено — устаревший сервер, забытый открытый порт или невнимательного сотрудника, кликнувшего по фишинговой ссылке. Аудит «для галочки» такие нюансы нередко обходит стороной.
Какие ошибки встречаются чаще всего?
Есть ряд типичных промахов, из-за которых даже полезный по идее аудит теряет смысл:
Аудит ради галочки. Проверку проводят только чтобы получить сертификат для регулятора или отчет для начальства. Без реальной заинтересованности в улучшении защиты результаты аудита просто ложатся на полку — никаких изменений не происходит.
Неполный охват. Если аудит ограничивается узкой зоной (например, просматривают только документы и политики, но не проверяют реально работающие системы и не пытаются взломать их), легко пропустить уязвимости. Не получится защититься от атак лишь на бумаге.
Игнорирование человеческого фактора. Порой фокус смещается на технические средства защиты, а про людей забывают. Отсутствие ИБ-грамотности у сотрудников (как противостоять фишингу, что делать при инциденте) может свести на нет все усилия.
Отсутствие исправлений. Бесполезно проводить аудит, если потом не устранять выявленные уязвимости. Некоторые компании год за годом получают один и тот же список проблем, потому что рекомендации прошлого аудита так и не внедрены.
Недостаток свежего взгляда. Бывает, внутренний аудит проводят своими силами, и «замыленный глаз» команды не замечает проблем. Или приглашаются аудиторы, работающие по устаревшим методикам. В результате проверка выходит поверхностной, а риски остаются заниженными.
Как провести аудит с реальной пользой?
Относиться к аудиту не как к разовой акции, а как к цикличному процессу. Постоянно повышать уровень защиты и проверять его, в том числе при помощи практических испытаний — пентестов.
Еще важна поддержка руководства. Когда топ-менеджмент понимает ценность кибербезопасности, результаты аудита превращаются в конкретные действия: выделяется бюджет на устранение рисков, внедряются новые меры, обучаются сотрудники.
#углубились_в_тему
Облакотека / Оставить «бусты»
Дождались важных дядечек в костюмах, документы подготовили, политики подписали и выдохнули. Можно вешать сертификат соответствия в рамочку и менять пароль назад на qwerty123, а то запомнить сложно.
А что, если мы скажем, что удачный ИБ-аудит — это не гарантия безопасности? Злоумышленники не читают наши отчеты и не ставят галочки по чек-листу. Они ищут уязвимости, которых в формальной проверке могли просто не заметить.
Почему ИБ-аудит не спасает от атак?
Атакующий действует творчески: ищет слабое звено — устаревший сервер, забытый открытый порт или невнимательного сотрудника, кликнувшего по фишинговой ссылке. Аудит «для галочки» такие нюансы нередко обходит стороной.
Какие ошибки встречаются чаще всего?
Есть ряд типичных промахов, из-за которых даже полезный по идее аудит теряет смысл:
Аудит ради галочки. Проверку проводят только чтобы получить сертификат для регулятора или отчет для начальства. Без реальной заинтересованности в улучшении защиты результаты аудита просто ложатся на полку — никаких изменений не происходит.
Неполный охват. Если аудит ограничивается узкой зоной (например, просматривают только документы и политики, но не проверяют реально работающие системы и не пытаются взломать их), легко пропустить уязвимости. Не получится защититься от атак лишь на бумаге.
Игнорирование человеческого фактора. Порой фокус смещается на технические средства защиты, а про людей забывают. Отсутствие ИБ-грамотности у сотрудников (как противостоять фишингу, что делать при инциденте) может свести на нет все усилия.
Отсутствие исправлений. Бесполезно проводить аудит, если потом не устранять выявленные уязвимости. Некоторые компании год за годом получают один и тот же список проблем, потому что рекомендации прошлого аудита так и не внедрены.
Недостаток свежего взгляда. Бывает, внутренний аудит проводят своими силами, и «замыленный глаз» команды не замечает проблем. Или приглашаются аудиторы, работающие по устаревшим методикам. В результате проверка выходит поверхностной, а риски остаются заниженными.
Как провести аудит с реальной пользой?
Относиться к аудиту не как к разовой акции, а как к цикличному процессу. Постоянно повышать уровень защиты и проверять его, в том числе при помощи практических испытаний — пентестов.
Еще важна поддержка руководства. Когда топ-менеджмент понимает ценность кибербезопасности, результаты аудита превращаются в конкретные действия: выделяется бюджет на устранение рисков, внедряются новые меры, обучаются сотрудники.
#углубились_в_тему
Облакотека / Оставить «бусты»
🔥 12
❤ 4
❤🔥 3
2 964
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram