Daftar periksa Audit TI [ditutup]

18

Saya baru-baru ini mengambil posisi pertunjukan satu orang untuk sebuah perusahaan yang akan diaudit. Jaringan tidak berada di dekat yang dipersiapkan dan saya telah mencari daftar periksa audit umum karena belum disediakan oleh auditor dan belum menemukan banyak informasi bagus di luar sana. Adakah yang punya template bagus yang akan memberi saya titik awal yang baik. Saya tahu bahwa ini akan sangat disesuaikan dengan perusahaan tetapi titik awal akan membantu untuk menguraikan manajemen berapa banyak pekerjaan yang dibutuhkan.

security 
PHLiGHT
sumber
3
Apa jenis auditnya? Ada banyak hal yang bisa diaudit.
Warner
Saya ingin mengetahui hal itu juga, tetapi saya belum bisa mendapatkan tanggapan dari auditor untuk mendapatkan gambaran tentang ruang lingkup.
PHLiGHT
5
Audit keuangan, keamanan, proses, dan kontrol audit. Beberapa audit bahkan tidak termasuk dalam bidang TI rata-rata.
Warner
2
Jika mereka belum meminta Anda untuk dokumentasi, mereka tidak dapat mengaudit proses / kontrol Anda
Jim B
3
Saya merasa saya harus menunjukkan bahwa jika Anda melakukan segala persiapan untuk audit (melampaui apa pun yang diminta oleh auditor), maka audit tersebut sepenuhnya dikompromikan. Ini seharusnya menjadi evaluasi lingkungan Anda seperti saat ini, bukan pertunjukan anjing dan kuda di mana Anda mengabaikan kondisi permainan yang sebenarnya. Maaf, hanya gembar-gembor;)
Chris Thorpe

Jawaban:

6

Saya telah mencari daftar periksa audit umum karena belum ada yang disediakan oleh auditor

Itu mengecewakan. Saya melakukan ini selama beberapa tahun, dan merupakan praktik umum bagi kami untuk memberikan tinjauan terperinci tentang apa yang akan dinilai dan mengapa (metodologi). Kami mengajukan permintaan resmi untuk informasi, menyediakan alat bagi staf TI untuk menjalankan dan mengumpulkan data, termasuk segala dampak potensial dari proses pengumpulan (jika ada). Kami juga harus menjadwalkan pertemuan lengkap dengan agenda terperinci, yang biasanya berarti mereka tahu apa yang diharapkan. Tidak ada tujuan konstruktif yang disajikan dalam mengosongkan seseorang dalam inisiatif seperti ini. Masalah biasanya sangat banyak, dan sebagian besar staf TI terbuka untuk membahasnya jika pertunangan dimulai dengan benar.

Yang mengatakan, ada banyak daftar periksa di luar sana jika Anda melihat. Tetapi tujuan utama dari upaya ini adalah memunculkan sebanyak mungkin masalah, memprioritaskannya, dan menyusun rencana aksi untuk perbaikan. Saya tidak akan terlalu khawatir tentang menjadi "siap". Karena Anda baru mulai, harus ada pemahaman bahwa tempat itu tidak berantakan dalam semalam.

Jika jaringan yang Anda akui membutuhkan perbaikan menerima laporan yang baik, itu mungkin akan membuang-buang uang perusahaan.

Greg Askew
sumber
Sepakat. Ini adalah audit menyeluruh perusahaan dan departemen lainnya tidak diberi informasi lebih dari saya. Satu-satunya hal yang tampaknya kita ketahui dengan pasti adalah panjangnya 3 minggu.
PHLiGHT
1
Itu terdengar seperti audit "efisiensi".
Warner
2
Atau seseorang yang berpikir untuk membeli perusahaan.
John Gardeniers
8

Saya akan membuat asumsi terburu-buru dan berasumsi bahwa Anda bertanya tentang bagaimana mempersiapkan audit keamanan internal dengan fokus pada teknologi, bahkan mungkin tes penetrasi.

Bagaimana Anda mempersiapkan audit keamanan di sisi teknologi akan tergantung pada tujuan audit. Jika tujuannya adalah untuk menentukan spesifikasi bagaimana Anda meningkatkan infrastruktur Anda, Anda mungkin tidak melakukan apa-apa. Jika tujuannya adalah untuk memastikan bahwa tidak ada kesenjangan yang tersisa, saya akan merekomendasikan melakukan analisis kesenjangan sebelum audit dan memperbaiki setiap kesenjangan yang ditemukan.

Untuk praktik terbaik TI mendasar, saya akan merekomendasikan referensi PCI DSS . Tentu saja, itu termasuk hal-hal yang jelas Anda harus lakukan sudah seperti menambal perangkat lunak Anda untuk kerentanan keamanan.

Untuk mereplikasi audit keamanan saya akan mulai dengan meninjau metodologi pengujian penetrasi yang dirinci dalam Manual Metodologi Pengujian Keamanan Open Source . (OSSTMM)

Jika Anda mencari detail lebih lanjut, saya akan mendorong Anda untuk menulis kembali pertanyaan Anda agar tidak terlalu ambigu.

Warner
sumber
4
+1 "Saya mendorong Anda untuk menulis kembali pertanyaan Anda agar tidak terlalu ambigu." - Auditor tidak hanya menunjukkan hal-hal yang menuntut. Mereka disewa oleh seseorang untuk menguji aspek tertentu dari bisnis; mulai dengan siapa yang mempekerjakan mereka dan mengapa; setiap auditor yang saya kenal berkomunikasi dengan sangat baik ketika Anda cukup mengangkat telepon dan menelepon mereka .
Chris S
@ Chris, Anda jelas tidak harus berurusan dengan auditor yang sama yang saya temui. Seperti kelompok manusia lainnya, mereka sangat bervariasi dalam kemampuan mereka untuk berkomunikasi.
John Gardeniers
5

Ketika Anda membangun mesin, Anda harus memastikan bahwa Anda mencapai poin sebanyak dalam panduan keamanan NSA seperti praktis (beberapa hal mungkin berlebihan untuk situasi Anda):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

Dan ketika Anda memasang mesin, Anda harus melakukannya secara otomatis karena masing-masing adalah pemotong kue dari yang lain. Membangun "dengan tangan" melalui media instalasi dapat menjadi tempat yang rentan kesalahan saat Anda melewatkan sesuatu.

Mengotomatisasikan! Mengotomatisasikan! Mengotomatisasikan!

Setiap prosedur semi-reguler harus dituliskan sebanyak mungkin. Ini termasuk instalasi sistem, penambalan, pemindaian / audit kerentanan, pengujian kekuatan kata sandi.

Nic
sumber
1
+1 untuk tautan bagus.
nedm
2

Saya sarankan Anda untuk menghabiskan waktu membaca COBIT, yaitu OBjek Kontrol untuk TI. Bahkan itu digunakan oleh banyak perusahaan audit untuk mengaudit bidang TI.

Saya juga menyarankan Anda untuk menggunakan alat-alat seperti nessus (yang akan memeriksa jaringan / server Anda untuk kerentanan) atau mbsa (penganalisis keamanan baseline microsoft), tetapi hanya akan memeriksa perangkat keras windows.

Karena Anda meminta titik awal, saya pikir ini bisa membantu Anda.

Bob Rivers
sumber
1

Dalam pengalaman saya ketika audit diminta tanpa spesifikasi, itu biasanya berarti audit aset. Ini adalah jenis terburuk karena Anda kemudian perlu mencari tahu persis apa yang dimiliki perusahaan dan mungkin apakah itu sah atau tidak.

Secara pribadi, saya ingin menunjukkan bahwa istilah "audit" adalah generik dan memerlukan elaborasi. Saya secara resmi tidak melakukan apa-apa lagi sampai saya mendapatkan lebih jauh dan arah yang lebih jelas. Secara tidak resmi saya benar-benar sibuk dan berusaha memastikan apa pun di bawah kendali saya yang dapat diaudit dalam kondisi sebaik yang saya bisa lakukan, hanya untuk memastikan pantat saya tertutup. Kemudian, ketika saya mencari tahu apa yang sebenarnya mereka cari, saya menyerahkan audit yang paling relevan yang sebelumnya saya siapkan pada audit tersebut.

John Gardeniers
sumber
0

Tidak praktis untuk pergi ke setiap mesin untuk memastikan itu sepenuhnya diperbarui. Inilah sebabnya mengapa OpenVAS ada (OpenVAS adalah versi gratis baru Nessus). Anda dapat memberi tahu OpenVAS untuk memindai setiap mesin di jaringan internal Anda untuk mengidentifikasi area masalah. Anda juga perlu menjalankannya dari jarak jauh untuk mendapatkan gambaran tentang permukaan serangan jarak jauh Anda. Anda akan menemukan masalah dengan set aturan firewall Anda dan mesin yang rentan terhadap serangan.

Benteng
sumber
Saya telah membeli Kaseya dan akan segera meluncurkannya untuk mengatasi tambalan klien antara lain.
PHLiGHT
@ PHLiGHT Sejujurnya membayar uang untuk sesuatu tidak selalu membuatnya lebih baik.
Benteng
0

Saya akan mencari untuk mengumpulkan pernyataan tentang bagaimana Anda melakukan bisnis. Apa proses saat ini (jika ada) dan apa yang seharusnya / akan terjadi di masa depan. Jika itu adalah tes penetrasi atau audit tipe keamanan, mereka akan memberi tahu Anda dan itu tidak akan menjangkau seluruh departemen lain. mungkin juga perlu dipersiapkan untuk berbicara tentang bagaimana Anda dapat mendukung kepatuhan terhadap peraturan untuk unit bisnis lain tergantung pada peraturan yang mungkin ada di perusahaan Anda.

MikeJ
sumber
0

Jika saya mengerti dengan baik, Anda perlu semacam daftar periksa dan itu sepertinya titik awal yang baik. Ada banyak saran yang bisa Anda gali menggunakan Internet, tapi saya lebih suka yang ini . Seiring dengan topik audit, Anda dapat menemukan yang tambahan yang akan dibutuhkan pada waktunya juga

Ivan Stankovic
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.