¿Cuáles son los puntos básicos que se deben verificar durante una auditoría de sistemas? [cerrado]

3

Trabajo en la industria del petróleo y soy 'el joven geek'. Como tal, a menudo tengo la tarea de escribir macros VBA, un poco de JS para visualización de datos, etc.

Últimamente, se me ha asignado la tarea de "realizar auditorías de sistemas".

Algunas palabras de contexto:

  • El sistema de información de la empresa (es decir, 'red de oficina') está bajo la responsabilidad de la división de TI, de la cual no soy parte.
  • Sin embargo, los sistemas "industriales" (es decir, sistemas de control, sistemas de ejecución de fabricación, etc.) son responsabilidad de los equipos industriales. Un firewall separa estos dos mundos, administrados por TI corporativa. Se considera que este firewall aísla la red industrial de la red de la oficina y, a fortiori, de Internet. Esas redes industriales son el alcance de la auditoría.
  • No soy, con mucho, un experto en seguridad. Pero está claro para todos (en particular, mis gerentes) que las 'auditorías de seguridad' son solo una forma de usar palabras de moda en los boletines informativos, y que las auditorías serias serán manejadas por profesionales.

Dicho esto, me gustaría usar esto como una oportunidad para aprender, y para que los técnicos de la planta también aprendan.

¿Cuáles son los puntos básicos que debo revisar en una 'auditoría de sistemas', ese sería un buen pretexto para discutir sobre los aspectos básicos de la Seguridad de la Información y me permitiría detectar las debilidades más obvias?

Tengo en mi lista hasta ahora:

  • Comprobar si las entradas (puertos USB, unidades de disquete [plantas antiguas ...], etc.) están deshabilitadas
  • Busque contraseñas de administrador en un post-it en la pantalla
  • Verifique si los sistemas operativos utilizados aún son compatibles (espero ver algunos sistemas anteriores a Windows XP), y si están actualizados.
pregunta Peter 29.03.2018 - 15:53
fuente

1 respuesta

1

¿Contra qué estás auditando? Las auditorías son comprobaciones de que los sistemas cumplen con algo. Entonces, en primer lugar, trataría de averiguar qué requisitos existen para sus sistemas. Si no existen, su auditoría consistirá básicamente en que usted decida el estándar y luego determine si los sistemas siguen sus estándares. Eso te pone en una posición perdedora.

Si su administración insiste en seguir con su "auditoría", le preguntaría a qué está haciendo una auditoría. ¿Mejores prácticas? Normas ISO? Dudo que tenga datos de pacientes, financieros corporativos o de pago en sus sistemas industriales, por lo que se lo libera de los estándares HIPAA, SOX y PCI. Ese debe ser su primer enfoque: obtener un acuerdo sobre sus auditorías en contra. De lo contrario, simplemente estás llenando una casilla de verificación.

También, al completar la auditoría: ¿quién es responsable de remediar las variaciones que descubra? (Sugerencia: no es usted. Usted es el auditor, no el propietario del sistema). ¿Cómo apoyará la administración remediar esas variaciones? ¿Quién será responsable?

Esto no responde completamente a tu pregunta, pero creo que es incluso más importante que las preguntas que haces.

    
respondido por el baldPrussian 29.03.2018 - 23:24
fuente

Lea otras preguntas en las etiquetas