Un tecnico IT ha affermato che nella sua azienda gli aggiornamenti di Windows (piccoli aggiornamenti di sicurezza scaricati automaticamente dal download automatico di Windows) vengono controllati dal revisore. vale a dire: l'auditor verifica se tutti i sistemi della società hanno questi aggiornamenti installati. Non potevo credere che i revisori effettivamente controllassero questi dettagli. Fanno?
Ci sono sicuramente alcune regole che richiedono questo controllo.
Ad esempio, PCI-DSS richiede (richiesto ancora revisione V2 ancora ..) tutte le patch di sicurezza da installare entro un certo periodo di tempo. E sì, i QSA devono verificare anche questo.
A quanto ho capito (non sono un avvocato e non sono un compliance officer, quindi prendo quello che dico con un pizzico di sale), ci sono interpretazioni di conformità SOX che richiedono che una società abbia meccanismi in atto per garantire che tutte le macchine sono aggiornate con le patch. Quindi non mi sorprenderebbe se fossero controllati.
Da una serie di organizzazioni che mi occupavo da una prospettiva di audit IT, il termine "audit" qui in genere significava "controllare l'elenco degli aggiornamenti installati rispetto all'elenco pubblicato" non approfondire quanto ciascuno conteneva . cioè se fosse un 'critico' dal venditore, l'audit sarebbe preoccupato se non fosse stato implementato in modo tempestivo - o, in caso contrario, avere una buona ragione di eccezione.
Leggi altre domande sui tag windows audit patching compliance