Lista de verificación de auditoría de TI [cerrada]

18

Recientemente asumí el cargo de un espectáculo individual para una empresa que va a tener una auditoría. La red no está preparada ni mucho menos y he estado buscando una lista de verificación de auditoría general, ya que los auditores no la han proporcionado y no he encontrado mucha buena información. ¿Alguien tiene una buena plantilla que me dará un buen punto de partida? Sé que esto estará muy personalizado para la empresa, pero un punto de partida será útil para indicarle a la gerencia cuánto trabajo se necesita.

security 
PHLiGHT
fuente
3
¿Qué tipo de auditoría? Hay una multitud de cosas que podrían ser auditadas.
Warner
Me encantaría saber eso también, pero no he podido obtener ninguna respuesta de los auditores para tener una idea del alcance.
PHLiGHT
55
Auditoría financiera, auditoría de seguridad, procesos y controles ... algunas auditorías ni siquiera caerían dentro del alcance promedio de TI.
Warner
2
Si no le han pedido documentación, no pueden auditar sus procesos / controles
Jim B
3
Siento que debo señalar que si realiza algún tipo de preparación para una auditoría (más allá de lo solicitado por los auditores), entonces la auditoría está completamente comprometida. Se supone que es una evaluación de su entorno tal como está actualmente, no un espectáculo de perros y ponis donde se pasa por alto el verdadero estado de juego. Lo siento, solo despotricar;)
Chris Thorpe

Respuestas:

6

He estado buscando una lista de verificación de auditoría general ya que los auditores no la han proporcionado.

Eso es decepcionante. Lo hice durante algunos años, y era una práctica común para nosotros proporcionar una descripción detallada de lo que se evaluaría y por qué (metodología). Presentamos solicitudes formales de información, proporcionamos herramientas para que el personal de TI ejecute y recopile datos, incluido cualquier impacto potencial del proceso de recopilación (si corresponde). También tuvimos que programar reuniones completas con agendas detalladas, lo que generalmente significaba que sabían qué esperar. No hay un propósito constructivo cumplido al ponerle bolsas de arena a alguien en una iniciativa como esta. Los problemas suelen ser abundantes y la mayoría del personal de TI está abierto a discutirlos si el compromiso se inicia correctamente.

Dicho esto, hay muchas listas de verificación por ahí si nos fijamos. Pero el objetivo principal de este esfuerzo debe ser dar a conocer la mayor cantidad de problemas posible, priorizarlos y desarrollar planes de acción para la remediación. No me preocuparía demasiado estar "preparado". Desde que comenzó recientemente, debe entenderse que el lugar no se desmoronó de la noche a la mañana.

Si la red que usted reconoce necesita mejorar recibe un buen informe, eso probablemente sería un desperdicio del dinero de la compañía.

Greg Askew
fuente
Convenido. Esta es una auditoría de toda la compañía y el resto de los departamentos no reciben más información que yo. Lo único que parece saber con certeza es que dura 3 semanas.
PHLiGHT
1
Eso suena como una auditoría de "eficiencia".
Warner
2
O alguien pensando en comprar la empresa.
John Gardeniers
8

Voy a hacer una suposición precipitada y asumir que me preguntas cómo prepararte para una auditoría de seguridad interna con un enfoque en la tecnología, tal vez incluso una prueba de penetración.

La forma en que se prepare para una auditoría de seguridad en el lado de la tecnología dependerá del objetivo de la auditoría. Si el objetivo es que defina la especificación de cómo mejorar su infraestructura, es posible que no haga nada. Si el objetivo es asegurar que no queden huecos, recomendaría realizar un análisis de huecos antes de la auditoría y corregir los huecos descubiertos.

Para las mejores prácticas fundamentales de TI, recomendaría hacer referencia a PCI DSS . Por supuesto, incluye cosas obvias que ya debería estar haciendo, como parchar su software para detectar vulnerabilidades de seguridad.

Para replicar una auditoría de seguridad, comenzaría con la revisión de la metodología de pruebas de penetración detallada en el Manual de Metodología de Pruebas de Seguridad de Código Abierto . (OSSTMM)

Si está buscando más detalles, le animo a que vuelva a escribir su pregunta para que sea menos ambiguo.

Warner
fuente
44
+1 "Te animo a que vuelvas a escribir tu pregunta para que sea menos ambiguo". - Los auditores no solo muestran cosas exigentes. Son contratados por alguien para probar una faceta particular del negocio; comience con quién los contrató y por qué; todos los auditores que conozco se comunican muy bien cuando simplemente levanta el teléfono y los llama .
Chris S
@ Chris, obviamente no has tenido que lidiar con los mismos auditores con los que me he encontrado. Como cualquier otro grupo de humanos, varían mucho en su capacidad de comunicarse.
John Gardeniers
5

Cuando esté construyendo máquinas, debe asegurarse de alcanzar tantos puntos en la guía de seguridad de la NSA como sea práctico (algunas cosas pueden ser excesivas para su situación):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

Y cuando configura máquinas, debe hacerlo de manera automatizada, ya que cada uno es un cortador de galletas entre sí para comenzar. Construir "a mano" a través de los medios de instalación puede ser propenso a errores cuando se pierden cosas.

¡Automatizar! ¡Automatizar! ¡Automatizar!

Cualquier procedimiento semi-regular debe ser programado tanto como sea posible. Esto incluye la instalación del sistema, parches, escaneos / auditorías de vulnerabilidades, pruebas de seguridad de contraseña.

Nic
fuente
1
+1 por el gran enlace.
nedm
2

Le recomiendo que pase un tiempo leyendo COBIT, es decir, OBJETIVOS DE CONTROL para TI. De hecho, muchas empresas de auditoría lo utilizan para auditar el área de TI.

También le recomiendo que use herramientas como nessus (que verificará la vulnerabilidad de su red / servidores) o mbsa (analizador de seguridad de línea de base de microsoft), pero solo verificará el hardware de Windows.

Como solicitó un punto de partida, creo que esto podría ayudarlo.

Bob Rivers
fuente
1

En mi experiencia, cuando se solicita una auditoría sin especificaciones, generalmente significa una auditoría de activos. Este es el peor tipo porque entonces necesita averiguar exactamente qué tiene la compañía y tal vez si es legítimo o no.

Personalmente, me gustaría señalar que el término "auditoría" es genérico y requiere elaboración. Oficialmente no hago nada más hasta llegar más lejos y una dirección más clara. Extraoficialmente me pongo muy ocupado e intento asegurarme de que todo lo que esté bajo mi control que pueda ser auditado esté en la mejor forma posible, solo para asegurarme de que mi trasero esté cubierto. Luego, cuando descubro lo que realmente buscan, les doy la más relevante de las auditorías que he preparado previamente sobre el tema.

John Gardeniers
fuente
0

No es práctico ir a cada máquina para asegurarse de que esté completamente actualizada. Por eso existe OpenVAS (OpenVAS es la nueva versión gratuita de Nessus). Puede decirle a OpenVAS que escanee todas las máquinas de su red interna para identificar áreas problemáticas. También debe ejecutarlo de forma remota para tener una idea de su superficie de ataque remoto. Encontrará problemas con sus conjuntos de reglas de firewall y máquinas que son vulnerables a los ataques.

Torre
fuente
He comprado Kaseya y lo lanzaré pronto para abordar los parches del cliente, entre otras cosas.
PHLiGHT
@PHLiGHT Para ser honesto, pagar dinero por algo no siempre lo hace mejor.
Torre
0

Me gustaría armar una declaración de cómo haces negocios. Cuál es el proceso actual (si existe) y cuál debería ser / será el futuro. Si se tratara de una prueba de penetración o una auditoría de tipo de seguridad, se lo habrían dicho y no habría tenido alcance en otros departamentos. probablemente también necesite estar preparado para hablar sobre cómo puede respaldar el cumplimiento normativo para otras unidades de negocios, según las reglamentaciones de su empresa.

MikeJ
fuente
0

Si entendí bien, necesitas una especie de lista de verificación y ese parece ser un buen punto de partida. Hay muchos sugeridos que puedes desenterrar usando Internet, pero prefiero este . Junto con los temas de auditoría, puede encontrar otros adicionales que también serán necesarios a tiempo

Ivan Stankovic
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.