O que preciso fazer para garantir que minhas políticas de banco de dados sejam aprovadas em uma auditoria de segurança?

8

Eu tenho uma auditoria chegando e fiquei imaginando quais controles de acesso físico, eletrônico e lógico um auditor procuraria ao auditar um banco de dados para um sistema ERP. Sou realmente novo nesse processo e qualquer orientação seria apreciada.

sql-server oracle security audit Robert Silvie II
fonte

Respostas:

4

Eu concordo com a resposta de DeCosta. Em quais requisitos e especificações você será auditado? Mas, como minha melhor chance no escuro: Esta é uma publicação de "melhores práticas" para segurança relacionada ao SQL 2005, publicada pela Microsoft

http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc

E o artigo online dos livros:

http://msdn.microsoft.com/en-us/library/ms144228.aspx

Além disso, aqui está uma lista de itens que a PricewaterhouseCoopers cobre em seus serviços relacionados a Auditorias de sistemas ERP. Isso pode lhe dar algumas idéias. O menu no lado esquerdo cobre muitos tópicos que podem ser úteis para estimular coisas a serem pesquisadas.

http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml

RThomas
fonte
Não tem problema, boa sorte com a auditoria.
RThomas
4

Aplaudo o seu esforço, no entanto, a pergunta feita é provavelmente muito vaga. Regras diferentes se aplicam a diferentes setores e, além disso, às vezes você tem a oportunidade de definir suas próprias regras, basta segui-las.

Sugiro verificar com alguém qual auditoria você deve passar e, em seguida, encontrar os requisitos específicos.

johndacostaa
fonte
3
Concordo - eles não podem muito bem esperar que você atenda às expectativas sem publicar quais são essas expectativas. Está relacionado com HIPPA, Sarbanes Oxley, requisitos legais específicos relacionados com o armazenamento de antecedentes criminais etc ...
RThomas
3

Para adicionar aos excelentes links acima; Encontrei os seguintes documentos como referência útil sobre segurança e auditoria:

  • Artigo técnico sobre PCI Implantando o SQL Server 2008 com base nos padrões de segurança de dados do setor de cartões de pagamento (PCI DSS) : Link
  • Artigo técnico HIPPA: Link
  • Referência de segurança do Microsoft SQL Server do Center for Internet Security. Ligação
  • Também procure no google um documento chamado lista de verificação de segurança de banco de dados do Microsoft SQL Server do Departamento de Defesa dos EUA (não classificado) -
DaniSQL
fonte
2

Um ponto esquecido pelas pessoas acima é sobre identificar exatamente o que você está protegendo - se são dados de cartão de crédito, é fácil perceber que você precisa do PCI-DSS, mas no esquema mais amplo, o PCI-DSS não é realmente tão útil exceto como uma linha de base mínima. Você precisa identificar o que é de valor para sua empresa, seja por razões comerciais ou porque o regulador ou os acionistas o dizem, e garantir que sua auditoria leve isso em consideração.

Eu também sugeriria olhar para security.stackexchange.com , que atende especificamente ao profissional de segurança e risco, e muitos de nós realizamos auditorias de segurança, assistidas na preparação de auditorias, lideramos programas de teste e aprimoramento de segurança em larga escala etc.

Rory Alsop
fonte