Lista de verificación de auditoría de TI [cerrada]

Recientemente asumí el cargo de un espectáculo individual para una empresa que va a tener una auditoría. La red no está preparada ni mucho menos y he estado buscando una lista de verificación de auditoría general, ya que los auditores no la han proporcionado y no he encontrado mucha buena información. ¿Alguien tiene una buena plantilla que me dará un buen punto de partida? Sé que esto estará muy personalizado para la empresa, pero un punto de partida será útil para indicarle a la gerencia cuánto trabajo se necesita.

He estado buscando una lista de verificación de auditoría general ya que los auditores no la han proporcionado.

Eso es decepcionante. Lo hice durante algunos años, y era una práctica común para nosotros proporcionar una descripción detallada de lo que se evaluaría y por qué (metodología). Presentamos solicitudes formales de información, proporcionamos herramientas para que el personal de TI ejecute y recopile datos, incluido cualquier impacto potencial del proceso de recopilación (si corresponde). También tuvimos que programar reuniones completas con agendas detalladas, lo que generalmente significaba que sabían qué esperar. No hay un propósito constructivo cumplido al ponerle bolsas de arena a alguien en una iniciativa como esta. Los problemas suelen ser abundantes y la mayoría del personal de TI está abierto a discutirlos si el compromiso se inicia correctamente.

Dicho esto, hay muchas listas de verificación por ahí si nos fijamos. Pero el objetivo principal de este esfuerzo debe ser dar a conocer la mayor cantidad de problemas posible, priorizarlos y desarrollar planes de acción para la remediación. No me preocuparía demasiado estar "preparado". Desde que comenzó recientemente, debe entenderse que el lugar no se desmoronó de la noche a la mañana.

Si la red que usted reconoce necesita mejorar recibe un buen informe, eso probablemente sería un desperdicio del dinero de la compañía.

Voy a hacer una suposición precipitada y asumir que me preguntas cómo prepararte para una auditoría de seguridad interna con un enfoque en la tecnología, tal vez incluso una prueba de penetración.

La forma en que se prepare para una auditoría de seguridad en el lado de la tecnología dependerá del objetivo de la auditoría. Si el objetivo es que defina la especificación de cómo mejorar su infraestructura, es posible que no haga nada. Si el objetivo es asegurar que no queden huecos, recomendaría realizar un análisis de huecos antes de la auditoría y corregir los huecos descubiertos.

Para las mejores prácticas fundamentales de TI, recomendaría hacer referencia a PCI DSS . Por supuesto, incluye cosas obvias que ya debería estar haciendo, como parchar su software para detectar vulnerabilidades de seguridad.

Para replicar una auditoría de seguridad, comenzaría con la revisión de la metodología de pruebas de penetración detallada en el Manual de Metodología de Pruebas de Seguridad de Código Abierto . (OSSTMM)

Si está buscando más detalles, le animo a que vuelva a escribir su pregunta para que sea menos ambiguo.

Cuando esté construyendo máquinas, debe asegurarse de alcanzar tantos puntos en la guía de seguridad de la NSA como sea práctico (algunas cosas pueden ser excesivas para su situación):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

Y cuando configura máquinas, debe hacerlo de manera automatizada, ya que cada uno es un cortador de galletas entre sí para comenzar. Construir "a mano" a través de los medios de instalación puede ser propenso a errores cuando se pierden cosas.

¡Automatizar! ¡Automatizar! ¡Automatizar!

Cualquier procedimiento semi-regular debe ser programado tanto como sea posible. Esto incluye la instalación del sistema, parches, escaneos / auditorías de vulnerabilidades, pruebas de seguridad de contraseña.

Le recomiendo que pase un tiempo leyendo COBIT, es decir, OBJETIVOS DE CONTROL para TI. De hecho, muchas empresas de auditoría lo utilizan para auditar el área de TI.

También le recomiendo que use herramientas como nessus (que verificará la vulnerabilidad de su red / servidores) o mbsa (analizador de seguridad de línea de base de microsoft), pero solo verificará el hardware de Windows.

Como solicitó un punto de partida, creo que esto podría ayudarlo.

En mi experiencia, cuando se solicita una auditoría sin especificaciones, generalmente significa una auditoría de activos. Este es el peor tipo porque entonces necesita averiguar exactamente qué tiene la compañía y tal vez si es legítimo o no.

Personalmente, me gustaría señalar que el término "auditoría" es genérico y requiere elaboración. Oficialmente no hago nada más hasta llegar más lejos y una dirección más clara. Extraoficialmente me pongo muy ocupado e intento asegurarme de que todo lo que esté bajo mi control que pueda ser auditado esté en la mejor forma posible, solo para asegurarme de que mi trasero esté cubierto. Luego, cuando descubro lo que realmente buscan, les doy la más relevante de las auditorías que he preparado previamente sobre el tema.

No es práctico ir a cada máquina para asegurarse de que esté completamente actualizada. Por eso existe OpenVAS (OpenVAS es la nueva versión gratuita de Nessus). Puede decirle a OpenVAS que escanee todas las máquinas de su red interna para identificar áreas problemáticas. También debe ejecutarlo de forma remota para tener una idea de su superficie de ataque remoto. Encontrará problemas con sus conjuntos de reglas de firewall y máquinas que son vulnerables a los ataques.

Me gustaría armar una declaración de cómo haces negocios. Cuál es el proceso actual (si existe) y cuál debería ser / será el futuro. Si se tratara de una prueba de penetración o una auditoría de tipo de seguridad, se lo habrían dicho y no habría tenido alcance en otros departamentos. probablemente también necesite estar preparado para hablar sobre cómo puede respaldar el cumplimiento normativo para otras unidades de negocios, según las reglamentaciones de su empresa.

Si entendí bien, necesitas una especie de lista de verificación y ese parece ser un buen punto de partida. Hay muchos sugeridos que puedes desenterrar usando Internet, pero prefiero este . Junto con los temas de auditoría, puede encontrar otros adicionales que también serán necesarios a tiempo