Daftar periksa Audit TI [ditutup]

Saya baru-baru ini mengambil posisi pertunjukan satu orang untuk sebuah perusahaan yang akan diaudit. Jaringan tidak berada di dekat yang dipersiapkan dan saya telah mencari daftar periksa audit umum karena belum disediakan oleh auditor dan belum menemukan banyak informasi bagus di luar sana. Adakah yang punya template bagus yang akan memberi saya titik awal yang baik. Saya tahu bahwa ini akan sangat disesuaikan dengan perusahaan tetapi titik awal akan membantu untuk menguraikan manajemen berapa banyak pekerjaan yang dibutuhkan.

Saya telah mencari daftar periksa audit umum karena belum ada yang disediakan oleh auditor

Itu mengecewakan. Saya melakukan ini selama beberapa tahun, dan merupakan praktik umum bagi kami untuk memberikan tinjauan terperinci tentang apa yang akan dinilai dan mengapa (metodologi). Kami mengajukan permintaan resmi untuk informasi, menyediakan alat bagi staf TI untuk menjalankan dan mengumpulkan data, termasuk segala dampak potensial dari proses pengumpulan (jika ada). Kami juga harus menjadwalkan pertemuan lengkap dengan agenda terperinci, yang biasanya berarti mereka tahu apa yang diharapkan. Tidak ada tujuan konstruktif yang disajikan dalam mengosongkan seseorang dalam inisiatif seperti ini. Masalah biasanya sangat banyak, dan sebagian besar staf TI terbuka untuk membahasnya jika pertunangan dimulai dengan benar.

Yang mengatakan, ada banyak daftar periksa di luar sana jika Anda melihat. Tetapi tujuan utama dari upaya ini adalah memunculkan sebanyak mungkin masalah, memprioritaskannya, dan menyusun rencana aksi untuk perbaikan. Saya tidak akan terlalu khawatir tentang menjadi "siap". Karena Anda baru mulai, harus ada pemahaman bahwa tempat itu tidak berantakan dalam semalam.

Jika jaringan yang Anda akui membutuhkan perbaikan menerima laporan yang baik, itu mungkin akan membuang-buang uang perusahaan.

Saya akan membuat asumsi terburu-buru dan berasumsi bahwa Anda bertanya tentang bagaimana mempersiapkan audit keamanan internal dengan fokus pada teknologi, bahkan mungkin tes penetrasi.

Bagaimana Anda mempersiapkan audit keamanan di sisi teknologi akan tergantung pada tujuan audit. Jika tujuannya adalah untuk menentukan spesifikasi bagaimana Anda meningkatkan infrastruktur Anda, Anda mungkin tidak melakukan apa-apa. Jika tujuannya adalah untuk memastikan bahwa tidak ada kesenjangan yang tersisa, saya akan merekomendasikan melakukan analisis kesenjangan sebelum audit dan memperbaiki setiap kesenjangan yang ditemukan.

Untuk praktik terbaik TI mendasar, saya akan merekomendasikan referensi PCI DSS . Tentu saja, itu termasuk hal-hal yang jelas Anda harus lakukan sudah seperti menambal perangkat lunak Anda untuk kerentanan keamanan.

Untuk mereplikasi audit keamanan saya akan mulai dengan meninjau metodologi pengujian penetrasi yang dirinci dalam Manual Metodologi Pengujian Keamanan Open Source . (OSSTMM)

Jika Anda mencari detail lebih lanjut, saya akan mendorong Anda untuk menulis kembali pertanyaan Anda agar tidak terlalu ambigu.

Ketika Anda membangun mesin, Anda harus memastikan bahwa Anda mencapai poin sebanyak dalam panduan keamanan NSA seperti praktis (beberapa hal mungkin berlebihan untuk situasi Anda):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

Dan ketika Anda memasang mesin, Anda harus melakukannya secara otomatis karena masing-masing adalah pemotong kue dari yang lain. Membangun "dengan tangan" melalui media instalasi dapat menjadi tempat yang rentan kesalahan saat Anda melewatkan sesuatu.

Mengotomatisasikan! Mengotomatisasikan! Mengotomatisasikan!

Setiap prosedur semi-reguler harus dituliskan sebanyak mungkin. Ini termasuk instalasi sistem, penambalan, pemindaian / audit kerentanan, pengujian kekuatan kata sandi.

Saya sarankan Anda untuk menghabiskan waktu membaca COBIT, yaitu OBjek Kontrol untuk TI. Bahkan itu digunakan oleh banyak perusahaan audit untuk mengaudit bidang TI.

Saya juga menyarankan Anda untuk menggunakan alat-alat seperti nessus (yang akan memeriksa jaringan / server Anda untuk kerentanan) atau mbsa (penganalisis keamanan baseline microsoft), tetapi hanya akan memeriksa perangkat keras windows.

Karena Anda meminta titik awal, saya pikir ini bisa membantu Anda.

Dalam pengalaman saya ketika audit diminta tanpa spesifikasi, itu biasanya berarti audit aset. Ini adalah jenis terburuk karena Anda kemudian perlu mencari tahu persis apa yang dimiliki perusahaan dan mungkin apakah itu sah atau tidak.

Secara pribadi, saya ingin menunjukkan bahwa istilah "audit" adalah generik dan memerlukan elaborasi. Saya secara resmi tidak melakukan apa-apa lagi sampai saya mendapatkan lebih jauh dan arah yang lebih jelas. Secara tidak resmi saya benar-benar sibuk dan berusaha memastikan apa pun di bawah kendali saya yang dapat diaudit dalam kondisi sebaik yang saya bisa lakukan, hanya untuk memastikan pantat saya tertutup. Kemudian, ketika saya mencari tahu apa yang sebenarnya mereka cari, saya menyerahkan audit yang paling relevan yang sebelumnya saya siapkan pada audit tersebut.

Tidak praktis untuk pergi ke setiap mesin untuk memastikan itu sepenuhnya diperbarui. Inilah sebabnya mengapa OpenVAS ada (OpenVAS adalah versi gratis baru Nessus). Anda dapat memberi tahu OpenVAS untuk memindai setiap mesin di jaringan internal Anda untuk mengidentifikasi area masalah. Anda juga perlu menjalankannya dari jarak jauh untuk mendapatkan gambaran tentang permukaan serangan jarak jauh Anda. Anda akan menemukan masalah dengan set aturan firewall Anda dan mesin yang rentan terhadap serangan.

Saya akan mencari untuk mengumpulkan pernyataan tentang bagaimana Anda melakukan bisnis. Apa proses saat ini (jika ada) dan apa yang seharusnya / akan terjadi di masa depan. Jika itu adalah tes penetrasi atau audit tipe keamanan, mereka akan memberi tahu Anda dan itu tidak akan menjangkau seluruh departemen lain. mungkin juga perlu dipersiapkan untuk berbicara tentang bagaimana Anda dapat mendukung kepatuhan terhadap peraturan untuk unit bisnis lain tergantung pada peraturan yang mungkin ada di perusahaan Anda.

Jika saya mengerti dengan baik, Anda perlu semacam daftar periksa dan itu sepertinya titik awal yang baik. Ada banyak saran yang bisa Anda gali menggunakan Internet, tapi saya lebih suka yang ini . Seiring dengan topik audit, Anda dapat menemukan yang tambahan yang akan dibutuhkan pada waktunya juga