Recentemente, assumi a posição de um show individual para uma empresa que fará uma auditoria. A rede não está nem perto de estar preparada e eu tenho procurado uma lista de verificação de auditoria geral, pois ela não foi fornecida pelos auditores e não encontrou muitas informações boas por aí. Alguém tem um bom modelo que me dará um bom ponto de partida. Eu sei que isso será altamente personalizado para a empresa, mas um ponto de partida será útil para delinear para a gerência quanto trabalho é necessário.
18
Respostas:
Isso é decepcionante. Fiz isso por alguns anos e era prática comum fornecer uma visão detalhada do que seria avaliado e por quê (metodologia). Enviamos solicitações formais de informações, fornecemos ferramentas para a equipe de TI executar e coletar dados, incluindo qualquer impacto potencial do processo de coleta (se houver). Também tivemos que agendar reuniões completas com agendas detalhadas, o que geralmente significava que eles sabiam o que esperar. Não existe um objetivo construtivo servido em ensacar alguém em uma iniciativa como essa. Os problemas geralmente são abundantes e a maioria da equipe de TI está aberta para discuti-los se o engajamento for iniciado corretamente.
Dito isto, existem muitas listas de verificação por aí, se você olhar. Mas o objetivo principal desse esforço deve ser o de apresentar o maior número possível de questões, priorizá-las e desenvolver planos de ação para remediação. Eu não estaria muito preocupado em estar "preparado". Desde que você começou recentemente, deve haver um entendimento de que o local não desmoronou da noite para o dia.
Se a rede que você reconhece precisar de melhorias recebe um bom relatório, isso provavelmente seria um desperdício de dinheiro da empresa.
fonte
Vou fazer uma suposição precipitada e supor que você está perguntando sobre como se preparar para uma auditoria de segurança interna com foco na tecnologia, talvez até um teste de penetração.
Como você se prepara para uma auditoria de segurança no lado da tecnologia vai depender do objetivo da auditoria. Se o objetivo é definir a especificação de como você melhora sua infraestrutura, você pode não fazer nada. Se o objetivo é garantir que não haja falhas, recomendo realizar uma análise de lacunas antes da auditoria e corrigir as lacunas descobertas.
Para práticas recomendadas fundamentais de TI, recomendo fazer referência ao PCI DSS . Obviamente, inclui coisas óbvias que você já deveria estar fazendo, como corrigir seu software para vulnerabilidades de segurança.
Para replicar uma auditoria de segurança, eu começaria revisando a metodologia de teste de penetração detalhada no Manual de metodologia de teste de segurança de código aberto . (OSSTMM)
Se você estiver procurando mais detalhes, recomendamos que você reescreva sua pergunta para ser menos ambígua.
fonte
Quando estiver construindo máquinas, certifique-se de atingir o maior número possível de pontos no guia de segurança da NSA (algumas coisas podem ser um exagero para a sua situação):
http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/
E quando você configura máquinas, deve fazê-lo de forma automatizada, pois cada um é um cortador de biscoitos um do outro para começar. Construir "manualmente" através da mídia de instalação pode ser propenso a erros quando você sente falta de coisas.
Automatizar! Automatizar! Automatizar!
Qualquer procedimento semi-regular deve ser script o máximo possível. Isso inclui instalação do sistema, aplicação de patches, verificações / auditorias de vulnerabilidades, teste de força da senha.
fonte
Eu recomendo que você gaste algum tempo lendo o COBIT, ou seja, Objetivos de Controle para TI. De fato, é usado por muitas empresas de auditoria para auditar a área de TI.
Também recomendo que você use ferramentas como nessus (que verificará sua rede / servidores quanto a vulnerabilidades) ou mbsa (microsoft baseline security analyzer), mas verificará apenas o hardware do Windows.
Como você pediu um ponto de partida, acho que isso poderia ajudá-lo.
fonte
Na minha experiência, quando uma auditoria é solicitada sem especificações, geralmente significa uma auditoria de ativos. Esse é o pior tipo, porque você precisa descobrir exatamente o que a empresa possui e, talvez, se é legítimo ou não.
Pessoalmente, eu gostaria de salientar que o termo "auditoria" é genérico e requer elaboração. Eu oficialmente não faço mais nada até chegar mais longe e ter uma direção mais clara. Extraoficialmente, fico muito ocupado e tento garantir que qualquer coisa sob meu controle que possa ser auditada tenha a melhor forma possível, apenas para garantir que minha bunda esteja coberta. Então, quando descubro o que eles realmente procuram, entrego a eles a mais relevante das auditorias que já havia preparado.
fonte
Não é prático ir a cada máquina para garantir que esteja totalmente atualizado. É por isso que o OpenVAS existe (o OpenVAS é a nova versão gratuita do Nessus). Você pode dizer ao OpenVAS para digitalizar todas as máquinas da sua rede interna para identificar áreas problemáticas. Você também precisa executá-lo remotamente para ter uma idéia da sua superfície de ataque remoto. Você encontrará problemas com seus conjuntos de regras de firewall e máquinas vulneráveis a ataques.
fonte
Eu gostaria de fazer uma declaração de como você faz negócios. Qual é o processo atual (se houver algum) e qual deve / será o futuro. Se fosse um teste de penetração ou uma auditoria do tipo de segurança, eles teriam informado isso e não teriam alcance em outros departamentos. provavelmente também precisa estar preparado para falar sobre como você pode oferecer suporte à conformidade regulamentar para outras unidades de negócios, dependendo dos regulamentos que sua empresa esteja sujeita.
fonte
Se eu entendi bem, você precisa de uma espécie de lista de verificação e isso parece um bom ponto de partida. Existem muitos sugestões que você pode descobrir usando a Internet, mas eu prefiro este . Juntamente com os tópicos de auditoria, você pode encontrar outros adicionais que também serão necessários em tempo.
fonte