¿Qué necesitaría hacer para asegurarme de que mis políticas de DB tengan que pasar una auditoría de seguridad?

8

Tengo una auditoría próxima, y ​​me preguntaba qué controles de acceso físicos, electrónicos y lógicos buscaría un auditor al auditar una base de datos para un sistema ERP. Soy realmente nuevo en este proceso y cualquier orientación sería apreciada.

sql-server oracle security audit Robert Silvie II
fuente

Respuestas:

4

Estoy de acuerdo con la respuesta de DeCosta. ¿En qué requisitos, especificaciones vas a ser auditado? Pero, como mi mejor tiro en la oscuridad: esta es una publicación de "mejores prácticas" para seguridad relacionada con SQL 2005 que fue publicada por Microsoft

http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc

Y el artículo en línea de los libros:

http://msdn.microsoft.com/en-us/library/ms144228.aspx

Además, aquí hay una lista de cosas que PricewaterhouseCoopers cubre en sus servicios relacionados con las auditorías de los sistemas ERP. Puede darte algunas ideas. El menú en el lado izquierdo cubre muchos temas que pueden ser útiles para generar cosas para investigar.

http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml

RThomas
fuente
No hay problema, buena suerte con la auditoría.
RThomas
4

Aplaudo su esfuerzo, sin embargo, la pregunta es probablemente demasiado vaga. Se aplican diferentes reglas a diferentes industrias y, además, a veces tiene la oportunidad de establecer sus propias reglas, solo necesita seguirlas.

Sugeriría consultar con alguien sobre qué auditoría se espera que pase y luego encontrar los requisitos específicos.

johndacostaa
fuente
3
De acuerdo: no pueden esperar que cumplas con las expectativas sin publicar cuáles son esas expectativas. ¿Está relacionado con HIPPA, Sarbanes Oxley, requisitos legales específicos relacionados con el almacenamiento de antecedentes penales, etc.
RThomas
3

Para agregar a los excelentes enlaces anteriores; Encontré los siguientes documentos como referencia útil sobre seguridad y auditoría:

  • Informe técnico de PCI Implementación de SQL Server 2008 según los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) : Enlace
  • Libro blanco de HIPPA: Enlace
  • Punto de referencia de seguridad de Microsoft SQL Server del Center for Internet Security. Enlace
  • También busque en Google un documento llamado Lista de verificación de seguridad de la base de datos de Microsoft SQL Server del Departamento de Defensa de EE. UU. (Sin clasificar):
DaniSQL
fuente
2

Un punto perdido por los anteriores es identificar exactamente lo que está protegiendo: si se trata de datos de tarjetas de crédito, es fácil darse cuenta de que necesita PCI-DSS, pero en el esquema más amplio de cosas, PCI-DSS no es realmente tan útil excepto como una línea de base mínima. Debe identificar qué es de valor para su empresa, ya sea por razones comerciales o porque el regulador o los accionistas lo dicen, y asegurarse de que su auditoría los tenga en cuenta.

También sugeriría mirar security.stackexchange.com , que atiende específicamente al profesional de seguridad y riesgos, y hay muchos de nosotros que hemos llevado a cabo auditorías de seguridad, ayudado con la preparación de auditorías, lideramos programas de pruebas y mejoras de seguridad a gran escala. etc.

Rory Alsop
fuente