19 votos

Lista de verificación de Auditoría de TI

Recientemente me han tomado la posición de un espectáculo de un hombre para una empresa que va a tener una auditoría. La red no está siquiera cerca de preparado y he estado buscando un general de auditoría lista de verificación ya que uno no ha sido proporcionada por los auditores de cuentas y no he encontrado muy buena información por ahí. ¿Alguien tiene una buena plantilla que me dará un buen punto de partida. Sé que esto va a ser muy personalizado para la empresa, sino un punto de partida será útil esbozar para la gestión de cuánto trabajo se necesita.

8voto

Warner Puntos 17528

Voy a hacer una erupción de la asunción y a asumir que usted está preguntando acerca de cómo prepararse para una auditoría interna de seguridad con un enfoque en la tecnología, tal vez incluso una prueba de penetración.

Cómo prepararse para una auditoría de seguridad en el lado tecnológico va a depender del objetivo de la auditoría. Si la meta es que para definir la especificación de cómo puede mejorar su infraestructura, por lo que podría hacer nada. Si el objetivo es asegurar que no se mantienen las brechas, me gustaría recomendar la realización de un análisis de la brecha antes de la auditoría y corregir las deficiencias descubiertas.

Para las mejores prácticas de TI, me gustaría recomendar la referencia a la PCI DSS. Por supuesto, incluye obvio cosas que debería estar haciendo ya como parchar tu software para vulnerabilidades de seguridad.

Para replicar una auditoría de seguridad me gustaría empezar con la revisión de las pruebas de penetración de la metodología detallada en el código Abierto de Pruebas de Seguridad Manual de Metodología. (OSSTMM)

Si usted está buscando para obtener más detalles, me animo a volver a escribir tu pregunta para ser menos ambiguo.

8voto

Greg Askew Puntos 17236

He estado buscando un general de auditoría lista de verificación ya que uno no ha sido proporcionada por los auditores de cuentas

Que es decepcionante. Yo hice esto por un par de años, y era la práctica común para que nos proporcionan una visión detallada de lo que sería evaluado y por qué? (metodología). Hemos presentado solicitudes formales de información, proporciona las herramientas necesarias para QUE el personal de ti para ejecutar y recoger los datos, incluyendo el impacto potencial del proceso de recolección (si los hubiere). También tuvimos la programación de reuniones completa con la información detallada de las agendas, que por lo general significaba que sabía qué esperar. No hay ningún propósito constructivo servido en sandbagging alguien en una iniciativa como esta. Generalmente son asuntos en abundancia, y la mayoría del personal de TI están abiertos a discutir si el compromiso se inició correctamente.

Dicho esto, hay un montón de listas de verificación si uno mira. Pero el objetivo principal de este esfuerzo se debe a la superficie de los tantos problemas como sea posible, dar prioridad a ellos, y desarrollar planes de acción para la remediación. Yo no estaría demasiado preocupado acerca de ser "preparado". Desde que se ha iniciado recientemente, debe haber un entendimiento de que el lugar no caer a pedazos la noche a la mañana.

Si la red a la que usted reconoce que está en necesidad de mejoramiento recibe un buen informe, que probablemente sería un desperdicio de el dinero de la compañía.

2voto

Bob Rivers Puntos 381

Te recomiendo que pasó algún tiempo a la lectura, COBIT, que es el Control de los Objetivos. De hecho, es utilizado por muchas empresas de auditoría para la auditoría del área.

También recomiendo el uso de herramientas como nessus (que se compruebe su red/servidores en busca de vulnerabilidades) o mbsa (microsoft baseline security analizador), pero es sólo la prueba de hardware de windows.

Desde que usted pidió un punto de partida, creo que esto podría ayudar a usted.

1voto

John Gardeniers Puntos 22554

En mi experiencia, cuando una auditoría es requerido, sin especificaciones, lo que generalmente significa un activo de auditoría. Este es el peor tipo debido a que usted necesita saber exactamente lo que la empresa tiene y tal vez si es legítima o no.

Personalmente, me gustaría señalar que el término "auditoría" es genérico y requiere de la elaboración. Yo oficialmente no hacer nada más hasta que me aleja más y una dirección más clara. Extraoficialmente me pones a trabajar y tratar de asegurarse de que cualquier cosa bajo mi control, que podría ser auditado está en tan buena forma como lo puedo hacer, sólo para estar seguro de que mi culo está cubierto. Entonces, cuando me entero de lo que son en realidad, después, de la mano de ellos los más relevantes de las auditorías he preparado previamente en el bastante.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: