Lavoro nel settore petrolifero e sono "il giovane geek". In quanto tale, sono spesso incaricato di scrivere macro VBA, un po 'di JS per la visualizzazione dei dati e così via.
Ultimamente, mi è stato assegnato il compito di 'condurre audit dei sistemi'.
Alcune parole di contesto:
- Il sistema informativo dell'azienda (ad esempio "rete di uffici") è sotto la responsabilità della divisione IT, di cui non faccio parte.
- Tuttavia, i sistemi "industriali" (ovvero sistemi di controllo, sistemi di esecuzione della produzione, ecc.) sono sotto la responsabilità dei team industriali. Un firewall separa questi due mondi, gestiti dall'IT aziendale. Si ritiene che questo firewall isola la rete industriale dalla rete dell'ufficio e, a fortiori, da Internet. Quelle reti industriali sono lo scopo dell'audit.
- Non sono di gran lunga un esperto di sicurezza. Ma è chiaro per tutti (in particolare i miei manager) che i 'controlli di sicurezza' sono solo un modo per usare parole d'ordine nelle newsletter e che qualsiasi audit serio sarà gestito da professionisti.
Detto questo, mi piacerebbe usarlo come un'opportunità per imparare, e per far sì che anche i tecnici della fabbrica apprendano.
Quali sono i punti fondamentali che dovrei controllare in un "audit di sistema", sarebbe un buon pretesto per discutere delle basi della sicurezza delle informazioni e mi permetterebbe di cogliere le debolezze più ovvie?
Ho inserito nella mia lista fino ad ora:
- Controllare se gli input (porte USB, unità floppy [vecchi impianti ...], ecc.) sono disabilitati
- Cerca le password degli amministratori su un post-it sullo schermo
- Il check out è che i sistemi operativi utilizzati sono ancora supportati (mi aspetto di vedere alcuni sistemi pre-Windows XP) e se sono aggiornati.