Liste de contrôle d'audit informatique [clôturée]

18

J'ai récemment pris la position d'un one man show pour une entreprise qui va avoir un audit. Le réseau n'est pas du tout prêt à être préparé et je cherchais une liste de contrôle d'audit général, car elle n'a pas été fournie par les auditeurs et n'a pas trouvé beaucoup de bonnes informations. Quelqu'un at-il un joli modèle qui me donnera un bon point de départ. Je sais que cela sera hautement personnalisé pour l'entreprise, mais un point de départ sera utile pour indiquer à la direction combien de travail est nécessaire.

PHLiGHT
la source
3
Quel type d'audit? Il y a une multitude de choses qui pourraient être vérifiées.
Warner
J'aimerais bien le savoir aussi, mais je n'ai pas pu obtenir de réponse des auditeurs pour avoir une idée de la portée.
PHLiGHT
5
Audit financier, audit de la sécurité, des processus et des contrôles ... certains audits ne relèveraient même pas de la compétence informatique moyenne.
Warner
2
S'ils ne vous ont pas demandé de documentation, ils ne peuvent pas auditer vos processus / contrôles
Jim B
3
Je pense que je devrais souligner que si vous effectuez un type de préparation pour un audit (au-delà de tout ce qui est demandé par les auditeurs), l'audit est alors complètement compromis. C'est censé être une évaluation de votre environnement tel qu'il est actuellement, pas une exposition de chiens et de poneys où vous passez en revue le véritable état du jeu. Désolé, je déclamais juste;)
Chris Thorpe

Réponses:

6

Je cherchais une liste de vérification générale de l'audit car aucune n'a été fournie par les auditeurs

C'est décevant. Je l'ai fait pendant plusieurs années, et c'était une pratique courante pour nous de fournir un aperçu détaillé de ce qui serait évalué et pourquoi (méthodologie). Nous avons soumis des demandes officielles d'informations, fourni des outils au personnel informatique pour exécuter et collecter des données, y compris tout impact potentiel du processus de collecte (le cas échéant). Nous devions également planifier des réunions avec des ordres du jour détaillés, ce qui signifiait généralement qu'ils savaient à quoi s'attendre. Il n'y a aucun but constructif servi à mettre en sac quelqu'un dans une initiative comme celle-ci. Les problèmes sont généralement nombreux, et la plupart des informaticiens sont prêts à en discuter si l'engagement est correctement lancé.

Cela dit, il existe de nombreuses listes de contrôle si vous regardez. Mais l'objectif principal de cet effort devrait être de faire émerger autant de problèmes que possible, de les hiérarchiser et d'élaborer des plans d'action pour y remédier. Je ne serais pas trop inquiet d'être "préparé". Puisque vous avez commencé récemment, il devrait être entendu que l'endroit ne s'est pas effondré du jour au lendemain.

Si le réseau que vous reconnaissez a besoin d'amélioration reçoit un bon rapport, ce serait probablement une perte d'argent pour l'entreprise.

Greg Askew
la source
D'accord. Il s'agit d'un audit à l'échelle de l'entreprise et les autres départements ne reçoivent pas plus d'informations que moi. La seule chose que nous semblons savoir avec certitude, c'est qu'elle dure 3 semaines.
PHLiGHT
1
Cela ressemble à un audit «d'efficacité».
Warner
2
Ou quelqu'un qui pense acheter l'entreprise.
John Gardeniers
8

Je vais faire une supposition irréfléchie et supposer que vous demandez comment vous préparer à un audit de sécurité interne en mettant l'accent sur la technologie, peut-être même un test de pénétration.

La façon dont vous vous préparez pour un audit de sécurité sur le plan technologique dépendra de l'objectif de l'audit. Si l'objectif est de définir la spécification de la façon dont vous améliorez votre infrastructure, vous pourriez ne rien faire. Si l'objectif est de s'assurer qu'aucune lacune ne subsiste, je recommanderais d'effectuer une analyse des lacunes avant l'audit et de corriger les lacunes découvertes.

Pour les meilleures pratiques informatiques fondamentales, je recommanderais de référencer le PCI DSS . Bien sûr, cela inclut des choses évidentes que vous devriez déjà faire, comme patcher votre logiciel pour des failles de sécurité.

Pour répliquer un audit de sécurité, je commencerais par examiner la méthodologie de test de pénétration détaillée dans le manuel de méthodologie de test de sécurité Open Source . (OSSTMM)

Si vous cherchez plus de détails, je vous encourage à réécrire votre question pour qu'elle soit moins ambiguë.

Warner
la source
4
+1 "Je vous encourage à réécrire votre question pour qu'elle soit moins ambiguë." - Les auditeurs ne se contentent pas de montrer des choses exigeantes. Ils sont embauchés par quelqu'un pour tester une facette particulière de l'entreprise; commencer par qui les a embauchés et pourquoi; tous les auditeurs que je connais communiquent très bien lorsque vous décrochez simplement le téléphone et les appelez .
Chris S
@Chris, vous n'avez évidemment pas eu à traiter avec les mêmes auditeurs que j'ai rencontrés. Comme tout autre groupe d'humains, leur capacité à communiquer est très variable.
John Gardeniers
5

Lorsque vous construisez des machines, vous devez vous assurer de toucher autant de points dans le guide de sécurité de la NSA que possible (certaines choses peuvent être exagérées pour votre situation):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

Et lorsque vous configurez des machines, vous devez le faire de manière automatisée car chacune est un emporte-pièce de chaque autre pour commencer. La construction "à la main" via le support d'installation peut être source d'erreurs lorsque vous manquez des choses.

Automatiser! Automatiser! Automatiser!

Toute procédure semi-régulière doit être scriptée autant que possible. Cela comprend l'installation du système, les correctifs, les analyses / audits de vulnérabilité, les tests de résistance des mots de passe.

Nic
la source
1
+1 pour le grand lien.
nedm
2

Je vous recommande de passer un peu de temps à lire COBIT, c'est-à-dire les objectifs de contrôle pour l'informatique. En fait, il est utilisé par de nombreuses sociétés d'audit pour auditer le domaine informatique.

Je vous recommande également d'utiliser des outils tels que nessus (qui vérifiera votre réseau / serveurs pour les vulnérabilités) ou mbsa (analyseur de sécurité de base Microsoft), mais il ne vérifiera que le matériel Windows.

Puisque vous avez demandé un point de départ, je pense que cela pourrait vous aider.

Bob Rivers
la source
1

D'après mon expérience, lorsqu'un audit est demandé sans spécifications, cela signifie généralement un audit des actifs. C'est le pire, car vous devez ensuite savoir exactement ce que l'entreprise possède et peut-être si elle est légitime ou non.

Personnellement, j'aime souligner que le terme «audit» est générique et nécessite une élaboration. Je ne fais officiellement rien de plus tant que je ne suis pas allé plus loin et dans une direction plus claire. Officieusement, je suis vraiment occupé et j'essaie de m'assurer que tout ce qui est sous mon contrôle qui pourrait être audité est aussi bon que je peux le faire, juste pour être sûr que mes fesses sont couvertes. Ensuite, quand je découvre ce qu'ils recherchent réellement, je leur remets le plus pertinent des audits que j'ai déjà préparés sur le tout.

John Gardeniers
la source
0

Il n'est pas pratique d'aller sur chaque machine pour s'assurer qu'elle est entièrement mise à jour. C'est pourquoi OpenVAS existe (OpenVAS est la nouvelle version gratuite de Nessus). Vous pouvez demander à OpenVAS d'analyser chaque machine de votre réseau interne pour identifier les zones problématiques. Vous devez également l'exécuter à distance pour avoir une idée de votre surface d'attaque à distance. Vous rencontrerez des problèmes avec vos ensembles de règles de pare-feu et les machines vulnérables aux attaques.

Tour
la source
J'ai acheté Kaseya et je le déploierai bientôt pour résoudre les problèmes de correction des clients, entre autres.
PHLiGHT
@PHLiGHT Pour être honnête, payer de l'argent pour quelque chose ne fait pas toujours mieux.
Tour
0

Je chercherais à établir une déclaration sur la façon dont vous faites des affaires. Quel est le processus actuel (le cas échéant) et ce qu'il devrait / sera futur. S'il s'agissait d'un test d'intrusion ou d'un audit de type de sécurité, ils vous l'auraient dit et cela n'aurait pas pu toucher d'autres services. vous devrez probablement aussi être prêt à discuter de la façon dont vous pouvez soutenir la conformité réglementaire pour les autres unités commerciales en fonction des réglementations que votre entreprise pourrait respecter.

MikeJ
la source
0

Si j'ai bien compris, vous avez besoin d'une sorte de liste de contrôle et cela semble être un bon point de départ. Il existe de nombreuses suggestions que vous pouvez creuser en utilisant Internet, mais je préfère celui-ci . En plus des sujets d'audit, vous pouvez en trouver d'autres qui seront également nécessaires à temps

Ivan Stankovic
la source