Tengo una auditoría próxima, y me preguntaba qué controles de acceso físicos, electrónicos y lógicos buscaría un auditor al auditar una base de datos para un sistema ERP. Soy realmente nuevo en este proceso y cualquier orientación sería apreciada.
Tengo una auditoría próxima, y me preguntaba qué controles de acceso físicos, electrónicos y lógicos buscaría un auditor al auditar una base de datos para un sistema ERP. Soy realmente nuevo en este proceso y cualquier orientación sería apreciada.
Respuestas:
Estoy de acuerdo con la respuesta de DeCosta. ¿En qué requisitos, especificaciones vas a ser auditado? Pero, como mi mejor tiro en la oscuridad: esta es una publicación de "mejores prácticas" para seguridad relacionada con SQL 2005 que fue publicada por Microsoft
Y el artículo en línea de los libros:
http://msdn.microsoft.com/en-us/library/ms144228.aspx
Además, aquí hay una lista de cosas que PricewaterhouseCoopers cubre en sus servicios relacionados con las auditorías de los sistemas ERP. Puede darte algunas ideas. El menú en el lado izquierdo cubre muchos temas que pueden ser útiles para generar cosas para investigar.
http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml
Aplaudo su esfuerzo, sin embargo, la pregunta es probablemente demasiado vaga. Se aplican diferentes reglas a diferentes industrias y, además, a veces tiene la oportunidad de establecer sus propias reglas, solo necesita seguirlas.
Sugeriría consultar con alguien sobre qué auditoría se espera que pase y luego encontrar los requisitos específicos.
Para agregar a los excelentes enlaces anteriores; Encontré los siguientes documentos como referencia útil sobre seguridad y auditoría:
Un punto perdido por los anteriores es identificar exactamente lo que está protegiendo: si se trata de datos de tarjetas de crédito, es fácil darse cuenta de que necesita PCI-DSS, pero en el esquema más amplio de cosas, PCI-DSS no es realmente tan útil excepto como una línea de base mínima. Debe identificar qué es de valor para su empresa, ya sea por razones comerciales o porque el regulador o los accionistas lo dicen, y asegurarse de que su auditoría los tenga en cuenta.
También sugeriría mirar security.stackexchange.com , que atiende específicamente al profesional de seguridad y riesgos, y hay muchos de nosotros que hemos llevado a cabo auditorías de seguridad, ayudado con la preparación de auditorías, lideramos programas de pruebas y mejoras de seguridad a gran escala. etc.