Quali sono i punti fondamentali da verificare durante un audit di sistema? [chiuso]

3

Lavoro nel settore petrolifero e sono "il giovane geek". In quanto tale, sono spesso incaricato di scrivere macro VBA, un po 'di JS per la visualizzazione dei dati e così via.

Ultimamente, mi è stato assegnato il compito di 'condurre audit dei sistemi'.

Alcune parole di contesto:

  • Il sistema informativo dell'azienda (ad esempio "rete di uffici") è sotto la responsabilità della divisione IT, di cui non faccio parte.
  • Tuttavia, i sistemi "industriali" (ovvero sistemi di controllo, sistemi di esecuzione della produzione, ecc.) sono sotto la responsabilità dei team industriali. Un firewall separa questi due mondi, gestiti dall'IT aziendale. Si ritiene che questo firewall isola la rete industriale dalla rete dell'ufficio e, a fortiori, da Internet. Quelle reti industriali sono lo scopo dell'audit.
  • Non sono di gran lunga un esperto di sicurezza. Ma è chiaro per tutti (in particolare i miei manager) che i 'controlli di sicurezza' sono solo un modo per usare parole d'ordine nelle newsletter e che qualsiasi audit serio sarà gestito da professionisti.

Detto questo, mi piacerebbe usarlo come un'opportunità per imparare, e per far sì che anche i tecnici della fabbrica apprendano.

Quali sono i punti fondamentali che dovrei controllare in un "audit di sistema", sarebbe un buon pretesto per discutere delle basi della sicurezza delle informazioni e mi permetterebbe di cogliere le debolezze più ovvie?

Ho inserito nella mia lista fino ad ora:

  • Controllare se gli input (porte USB, unità floppy [vecchi impianti ...], ecc.) sono disabilitati
  • Cerca le password degli amministratori su un post-it sullo schermo
  • Il check out è che i sistemi operativi utilizzati sono ancora supportati (mi aspetto di vedere alcuni sistemi pre-Windows XP) e se sono aggiornati.
posta Peter 29.03.2018 - 15:53
fonte

1 risposta

1

A cosa stai auditing? Gli audit sono controlli che i sistemi siano conformi a qualcosa. Quindi, prima di tutto, proverei a scoprire quali sono i requisiti per i tuoi sistemi. Se questi non esistono, la vostra verifica consisterà fondamentalmente nel decidere lo standard e quindi nel determinare se i sistemi seguono i vostri standard. Questo ti mette in una posizione perdente.

Se la tua gestione insiste sull'andare con la tua "verifica", chiederei loro cosa stai auditing contro. La migliore pratica? Standard ISO? Dubito che tu abbia dati sui pazienti, finanziari aziendali o di pagamento sui tuoi sistemi industriali in modo da liberarti dagli standard HIPAA, SOX e PCI. Questo dovrebbe essere il tuo primo obiettivo: ottenere un accordo su ciò che il tuo auditing contro. Altrimenti stai semplicemente compilando una casella di controllo.

Inoltre, al termine dell'audit: chi è responsabile per il recupero delle varianze che scopri? (Suggerimento: non sei tu. Sei l'auditor, non il proprietario del sistema.) In che modo il management sosterrà il ripristino di tali varianze? Chi sarà ritenuto responsabile?

Questo non risponde completamente alla tua domanda, ma penso che sia ancora più importante delle domande che chiedi.

    
risposta data 29.03.2018 - 23:24
fonte

Leggi altre domande sui tag