Frage IT-Audit-Checkliste [geschlossen]


Ich habe vor kurzem die Position einer Ein-Mann-Show für ein Unternehmen übernommen, das ein Audit durchführen wird. Das Netzwerk ist nicht annähernd vorbereitet und ich habe nach einer Checkliste für allgemeine Audits gesucht, da diese nicht von den Auditoren zur Verfügung gestellt wurden und nicht viele gute Informationen gefunden haben. Hat jemand eine schöne Vorlage, die mir einen guten Startpunkt geben wird. Ich weiß, dass dies in hohem Maße auf das Unternehmen zugeschnitten sein wird, aber ein Ausgangspunkt ist hilfreich, um dem Management zu skizzieren, wie viel Arbeit benötigt wird.


19
2018-05-17 19:50


Ursprung


Welche Art von Audit? Es gibt eine Vielzahl von Dingen, die auditiert werden könnten. - Warner
Ich würde das gerne auch wissen, aber ich konnte keine Rückmeldung von den Prüfern bekommen, um eine Vorstellung von dem Umfang zu bekommen. - PHLiGHT
Finanzaudit, Sicherheit, Prozess- und Kontrollaudit. Einige Audits würden nicht einmal unter den durchschnittlichen IT-Bereich fallen. - Warner
Wenn sie Sie nicht zur Dokumentation aufgefordert haben, können sie Ihre Prozesse / Kontrollen nicht überwachen - Jim B
Ich möchte darauf hinweisen, dass, wenn Sie irgendeine Art von Vorbereitung auf ein Audit durchführen (über alles hinaus, was von den Auditoren verlangt wird), das Audit vollständig kompromittiert wird. Es sollte eine Bewertung Ihrer momentanen Umgebung sein, nicht eine Hunde-und-Pony-Show, bei der Sie den wahren Zustand des Spiels beschönigen. Entschuldigung, nur schimpfen;) - Chris Thorpe


Antworten:


Ich habe nach einer Checkliste für die allgemeine Prüfung gesucht, da diese von den Prüfern nicht zur Verfügung gestellt wurde

Das ist enttäuschend. Ich tat dies für einige Jahre und es war üblich, dass wir einen detaillierten Überblick darüber lieferten, was bewertet werden würde und warum (Methodik). Wir reichten förmliche Informationsanfragen ein und stellten den IT-Mitarbeitern Werkzeuge zur Verfügung, um Daten zu sammeln und zu sammeln, einschließlich möglicher Auswirkungen des Sammlungsprozesses (falls vorhanden). Wir mussten auch Meetings mit detaillierten Terminen planen, was normalerweise bedeutete, dass sie wussten, was sie erwartet hatten. Es gibt keinen konstruktiven Zweck, jemanden in einer Initiative wie dieser zu unterstützen. Die Probleme sind in der Regel sehr groß und die meisten IT-Mitarbeiter sind offen für Diskussionen, wenn das Engagement richtig gestartet wird.

Das heißt, es gibt viele Checklisten da draußen, wenn Sie schauen. Das primäre Ziel dieser Bemühungen sollte jedoch darin bestehen, so viele Themen wie möglich zu behandeln, sie zu priorisieren und Aktionspläne für die Sanierung zu entwickeln. Ich wäre nicht allzu besorgt darüber, "vorbereitet" zu sein. Da Sie in letzter Zeit angefangen haben, sollten Sie verstehen, dass der Ort nicht über Nacht zusammenbrach.

Wenn das Netzwerk, das Sie anerkennen, verbesserungswürdig ist, erhält es einen guten Bericht, das wäre wahrscheinlich eine Verschwendung des Unternehmensgeldes.


6
2018-05-17 21:55



Einverstanden. Dies ist ein unternehmensweites Audit und der Rest der Abteilungen erhält keine Informationen mehr als ich. Das einzige, was wir sicher wissen, ist, dass es 3 Wochen lang ist. - PHLiGHT
Das klingt nach einem "Effizienz" -Audit. - Warner
Oder jemand, der daran denkt, die Firma zu kaufen. - John Gardeniers


Ich werde eine voreilige Annahme machen und annehmen, dass Sie sich fragen, wie Sie sich auf ein internes Sicherheitsaudit mit einem Schwerpunkt auf Technologie vorbereiten, vielleicht sogar einen Penetrationstest.

Wie Sie sich auf ein Technologie-Security-Audit vorbereiten, hängt vom Prüfungsziel ab. Wenn das Ziel darin besteht, die Spezifikation für die Verbesserung Ihrer Infrastruktur zu definieren, können Sie nichts tun. Wenn das Ziel darin besteht, sicherzustellen, dass keine Lücken bleiben, würde ich empfehlen, vor dem Audit eine Lückenanalyse durchzuführen und erkannte Lücken zu korrigieren.

Für grundlegende IT-Best Practices empfehle ich die Referenzierung der PCI DSS. Natürlich enthält es offensichtliche Dinge, die Sie bereits tun sollten, wie das Patchen Ihrer Software für Sicherheitslücken.

Um ein Sicherheitsaudit zu replizieren, beginne ich mit der Überprüfung der Penetrationstests, die im Handbuch zur Methodik der Open-Source-Sicherheitstests. (OSSTMM)

Wenn Sie nach weiteren Details suchen, würde ich Sie ermutigen, Ihre Frage neu zu schreiben, um weniger zweideutig zu sein.


8
2018-05-17 20:16



+1 "Ich würde Sie ermutigen, Ihre Frage neu zu schreiben, um weniger zweideutig zu sein." - Auditoren zeigen sich nicht nur fordernd. Sie werden von jemand um eine bestimmte Facette des Geschäfts zu testen; Beginnen Sie damit, wer sie angestellt hat und warum; Jeder Auditor, den ich kenne, kommuniziert sehr gut, wenn du es tust nehmen Sie einfach das Telefon und rufen Sie sie an. - Chris S
@Chris, Sie haben offensichtlich nicht mit den gleichen Prüfern zu tun gehabt, die mir begegnet sind. Wie jede andere Gruppe von Menschen unterscheiden sie sich stark in ihrer Kommunikationsfähigkeit. - John Gardeniers


Wenn Sie Maschinen bauen, sollten Sie sicherstellen, dass Sie so viele Punkte im Sicherheitsleitfaden der NSA treffen, wie es praktisch möglich ist (einige Dinge können für Ihre Situation übertrieben sein):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

Und wenn Sie Maschinen einrichten, sollten Sie dies in automatisierter Weise tun, damit jeder von jedem anderen ein Cookie-Cutter ist. "Von Hand" über Installationsmedien zu bauen, kann fehleranfällig sein, wenn Sie Dinge übersehen.

Automatisieren! Automatisieren! Automatisieren!

Jede halb-reguläre Prozedur sollte so oft wie möglich geschrieben werden. Dazu gehören Systeminstallation, Patching, Schwachstellen-Scans / Audits, Passwort-Test.


5
2018-05-29 13:37



+1 für die große Verbindung. - nedm


Ich empfehle Ihnen, einige Zeit damit zu verbringen, COBIT zu lesen, das sind Kontrollobjektive für IT. In der Tat wird es von vielen Wirtschaftsprüfungsgesellschaften verwendet, um den IT-Bereich zu prüfen.

Ich empfehle Ihnen auch, Tools wie Nessus (die Ihr Netzwerk / Server auf Schwachstellen überprüft) oder MBSA (Microsoft-Baseline-Sicherheitsanalyse) zu verwenden, aber es wird nur Windows-Hardware überprüft.

Da Sie nach einem Ausgangspunkt gefragt haben, könnte Ihnen das helfen.


2
2018-05-18 10:32





Meiner Erfahrung nach, wenn ein Audit ohne Spezifikationen angefordert wird, bedeutet es im Allgemeinen ein Asset-Audit. Dies ist die schlimmste Art, weil Sie dann genau herausfinden müssen, was das Unternehmen hat und ob es legitim ist oder nicht.

Persönlich möchte ich darauf hinweisen, dass der Begriff "Audit" generisch ist und ausgearbeitet werden muss. Ich mache offiziell nichts mehr, bis ich weiter und eine klarere Richtung komme. Inoffiziell werde ich sehr beschäftigt und versuche sicherzustellen, dass alles unter meiner Kontrolle, das geprüft werden könnte, in einer so guten Form ist, wie ich es schaffen kann, nur um sicher zu gehen, dass mein Hintern bedeckt ist. Dann, wenn ich herausfinde, was sie eigentlich sind, gebe ich ihnen die relevantesten der Audits, die ich zuvor auf der Basis vorbereitet habe.


1
2018-05-18 03:27





Es ist nicht praktisch, zu jeder Maschine zu gehen, um sicherzustellen, dass sie vollständig aktualisiert ist. Deshalb OpenVAS existiert (OpenVAS ist die neue kostenlose Version von Nessus). Sie können OpenVAS anweisen, jeden Computer in Ihrem internen Netzwerk zu scannen, um Problembereiche zu identifizieren. Sie müssen es auch remote ausführen, um eine Vorstellung von Ihrer Remote-Angriffsfläche zu erhalten. Sie werden Probleme mit Ihren Firewall-Regelsätzen und Maschinen feststellen, die anfällig für Angriffe sind.


0
2018-05-17 19:59



Ich habe Kaseya gekauft und werde es bald herausbringen, um das Patchen von Clients unter anderem anzugehen. - PHLiGHT
@PHLiGHT Um ehrlich zu sein, Geld für etwas zu bezahlen, macht es nicht immer besser. - Rook


Ich würde versuchen, eine Aussage darüber zusammenzustellen, wie Sie Geschäfte machen. Was der aktuelle Prozess (falls vorhanden) und was er / sie zukünftig sein soll. Wenn es sich um einen Penetrationstest oder eine Art von Sicherheitsprüfung handeln würde, hätten sie das Ihnen gesagt, und es würde nicht über andere Abteilungen hinweg reichen. Wahrscheinlich müssen Sie auch darauf vorbereitet sein, darüber zu sprechen, wie Sie die Einhaltung gesetzlicher Vorschriften für andere Geschäftsbereiche in Abhängigkeit von den Vorschriften, unter denen Ihr Unternehmen möglicherweise tätig ist, unterstützen können.


0
2018-05-18 02:20





Wenn ich gut verstanden habe, braucht man eine Art Checkliste und das scheint ein guter Ausgangspunkt zu sein. Es gibt viele Vorschläge, die Sie mit dem Internet ausgraben können, aber ich bevorzuge dieses. Neben den Auditing-Themen finden Sie weitere, die auch rechtzeitig benötigt werden


0
2017-11-18 19:10