Elenco di controllo per audit IT [chiuso]

18

Recentemente ho assunto la posizione di un one man show per un'azienda che avrà un audit. La rete non è per nulla preparata e ho cercato una lista di controllo di controllo generale poiché non è stata fornita dai revisori e non ho trovato molte buone informazioni là fuori. Qualcuno ha un bel modello che mi darà un buon punto di partenza. So che questo sarà altamente personalizzato per l'azienda, ma un punto di partenza sarà utile per delineare alla direzione quanto lavoro è necessario.

security 
Phlight
fonte
3
Che tipo di audit? C'è una moltitudine di cose che potrebbero essere controllate.
Warner,
Mi piacerebbe sapere anche quello, ma non sono stato in grado di ottenere risposte dai revisori per avere un'idea dell'ambito.
PHLiGHT,
5
Audit finanziario, sicurezza, audit di processo e di controllo. Alcuni audit non rientrerebbero nemmeno nella competenza IT media.
Warner,
2
Se non ti hanno chiesto documentazione, non possono controllare i tuoi processi / controlli
Jim B,
3
Sento che dovrei sottolineare che se si esegue qualsiasi tipo di preparazione per un audit (al di là di quanto richiesto dai revisori), l'audit è completamente compromesso. Dovrebbe essere una valutazione del tuo ambiente così com'è attualmente, non uno spettacolo cane-e-pony in cui sorprendi il vero stato di gioco. Scusa, sto solo cercando di parlare;)
Chris Thorpe,

Risposte:

6

Ho cercato una lista di controllo generale di controllo poiché una non è stata fornita dai revisori

Questo è deludente. L'ho fatto per alcuni anni ed era pratica comune per noi fornire una panoramica dettagliata di ciò che sarebbe stato valutato e perché (metodologia). Abbiamo presentato richieste formali di informazioni, fornito strumenti per l'esecuzione e la raccolta di dati da parte del personale IT, incluso l'eventuale impatto del processo di raccolta (se presente). Dovevamo anche programmare riunioni complete di ordini del giorno dettagliati, il che di solito significava che sapevano cosa aspettarsi. Non c'è uno scopo costruttivo servito a saccheggiare qualcuno in un'iniziativa come questa. I problemi di solito sono numerosi e la maggior parte del personale IT è disponibile a discuterne se il coinvolgimento viene avviato correttamente.

Detto questo, ci sono molte liste di controllo là fuori se si guarda. Ma l'obiettivo principale di questo sforzo dovrebbe essere quello di far emergere il maggior numero possibile di problemi, stabilire le priorità e sviluppare piani d'azione per la riparazione. Non sarei troppo preoccupato di essere "preparato". Da quando hai iniziato di recente, ci dovrebbe essere una comprensione del fatto che il posto non è andato in pezzi durante la notte.

Se la rete che riconosci necessita di miglioramenti riceve un buon rapporto, sarebbe probabilmente uno spreco di denaro dell'azienda.

Greg Askew
fonte
Concordato. Si tratta di un audit a livello aziendale e al resto dei dipartimenti non vengono fornite più informazioni di me. L'unica cosa che sembriamo sapere con certezza è che dura 3 settimane.
PHLiGHT,
1
Sembra un audit di "efficienza".
Warner,
2
O qualcuno che pensa di acquistare l'azienda.
John Gardeniers,
8

Farò un'ipotesi avventata e presumo che stai chiedendo come prepararsi per un audit di sicurezza interno con un focus sulla tecnologia, forse anche un test di penetrazione.

Il modo in cui prepararsi per un audit di sicurezza dal punto di vista tecnologico dipenderà dall'obiettivo dell'audit. Se l'obiettivo è definire le specifiche per il modo in cui migliorare la propria infrastruttura, non si può fare nulla. Se l'obiettivo è assicurare che non rimangano lacune, consiglierei di eseguire un'analisi delle lacune prima dell'audit e di correggere eventuali lacune rilevate.

Per le migliori pratiche IT fondamentali, consiglierei di fare riferimento al PCI DSS . Ovviamente, include cose ovvie che dovresti già fare come correggere il tuo software per vulnerabilità di sicurezza.

Per replicare un audit di sicurezza, inizierei con la revisione della metodologia dei test di penetrazione dettagliata nel Manuale di metodologia dei test di sicurezza open source . (OSSTMM)

Se stai cercando ulteriori dettagli, ti incoraggio a riscrivere la tua domanda per essere meno ambiguo.

Ammonitore
fonte
4
+1 "Ti incoraggio a riscrivere la tua domanda per renderla meno ambigua." - I revisori non si limitano a mostrare cose impegnative. Sono assunti da qualcuno per testare un aspetto particolare del business; inizia con chi li ha assunti e perché; ogni auditor che conosco comunica molto bene quando si prende semplicemente il telefono e lo si chiama .
Chris S,
@ Chris, ovviamente non hai avuto a che fare con gli stessi auditor che ho incontrato. Come qualsiasi altro gruppo di umani, variano notevolmente nella loro capacità di comunicare.
John Gardeniers,
5

Quando stai costruendo macchine dovresti assicurarti di colpire quanti più punti nella guida alla sicurezza dell'NSA siano pratici (alcune cose potrebbero essere eccessive per la tua situazione):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

E quando configuri le macchine, dovresti farlo in modo automatizzato per ognuno è un cookie cutter di ogni altro per cominciare. Costruire "a mano" tramite i supporti di installazione può essere soggetto a errori in cui si perdono le cose.

Automatizzare! Automatizzare! Automatizzare!

Qualsiasi procedura semi-regolare dovrebbe essere scritta il più possibile. Ciò include l'installazione del sistema, l'applicazione di patch, le scansioni / i controlli di vulnerabilità, i test di sicurezza delle password.

Nic
fonte
1
+1 per l'ottimo link.
nedm,
2

Ti consiglio di dedicare un po 'di tempo a leggere COBIT, ovvero Control OBjectives for IT. In effetti, viene utilizzato da molte società di revisione contabile per l'area IT.

Ti consiglio anche di usare strumenti come nessus (che controllerà le vulnerabilità della tua rete / server) o mbsa (analizzatore di sicurezza di base Microsoft), ma controllerà solo l'hardware di Windows.

Dato che hai chiesto un punto di partenza, penso che questo potrebbe aiutarti.

Bob Rivers
fonte
1

Nella mia esperienza, quando viene richiesto un audit senza specifiche, generalmente si intende un audit patrimoniale. Questo è il peggior tipo perché è quindi necessario scoprire esattamente ciò che l'azienda ha e forse se è legittimo o meno.

Personalmente, mi piace sottolineare che il termine "audit" è generico e richiede elaborazione. Non faccio ufficialmente niente di più fino a quando non ottengo ulteriori e una direzione più chiara. Ufficiosamente, mi occupo molto e cerco di accertarmi che qualsiasi cosa sotto il mio controllo che possa essere controllata sia nella forma migliore che posso, solo per essere sicuro che il mio culo sia coperto. Quindi, quando scopro di cosa si occupano effettivamente, li consegno il più pertinente degli audit che in precedenza ho preparato.

John Gardeniers
fonte
0

Non è pratico andare su ogni macchina per assicurarsi che sia completamente aggiornato. Ecco perché esiste OpenVAS (OpenVAS è la nuova versione gratuita di Nessus). Puoi dire a OpenVAS di scansionare ogni macchina della tua rete interna per identificare le aree problematiche. È inoltre necessario eseguirlo in remoto per avere un'idea della superficie di attacco remoto. Troverai problemi con i set di regole del firewall e le macchine che sono vulnerabili agli attacchi.

Torre
fonte
Ho acquistato Kaseya e lo distribuirò presto per affrontare il patching dei client tra le altre cose.
PHLiGHT,
@PHLiGHT Ad essere onesti, pagare per qualcosa non sempre lo rende migliore.
Rook,
0

Starei cercando di mettere insieme una dichiarazione su come fai affari. Quale sia il processo attuale (se esiste) e cosa dovrebbe / sarà futuro. Se si fosse trattato di un test di penetrazione o di un controllo del tipo di sicurezza, te lo avrebbero detto e non avrebbero raggiunto tutti gli altri dipartimenti. probabilmente è anche necessario essere pronti a parlare di come è possibile supportare la conformità normativa per altre unità aziendali a seconda delle normative che la propria azienda potrebbe essere soggetta.

MikeJ
fonte
0

Se ho capito bene, hai bisogno di una sorta di lista di controllo e che sembra un buon punto di partenza. Ci sono molti suggerimenti che puoi scavare usando Internet, ma preferisco questo . Insieme agli argomenti di auditing, puoi trovarne di nuovi che saranno richiesti anche in tempo

Ivan Stankovic
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.