Trabajo en la industria del petróleo y soy 'el joven geek'. Como tal, a menudo tengo la tarea de escribir macros VBA, un poco de JS para visualización de datos, etc.
Últimamente, se me ha asignado la tarea de "realizar auditorías de sistemas".
Algunas palabras de contexto:
- El sistema de información de la empresa (es decir, 'red de oficina') está bajo la responsabilidad de la división de TI, de la cual no soy parte.
- Sin embargo, los sistemas "industriales" (es decir, sistemas de control, sistemas de ejecución de fabricación, etc.) son responsabilidad de los equipos industriales. Un firewall separa estos dos mundos, administrados por TI corporativa. Se considera que este firewall aísla la red industrial de la red de la oficina y, a fortiori, de Internet. Esas redes industriales son el alcance de la auditoría.
- No soy, con mucho, un experto en seguridad. Pero está claro para todos (en particular, mis gerentes) que las 'auditorías de seguridad' son solo una forma de usar palabras de moda en los boletines informativos, y que las auditorías serias serán manejadas por profesionales.
Dicho esto, me gustaría usar esto como una oportunidad para aprender, y para que los técnicos de la planta también aprendan.
¿Cuáles son los puntos básicos que debo revisar en una 'auditoría de sistemas', ese sería un buen pretexto para discutir sobre los aspectos básicos de la Seguridad de la Información y me permitiría detectar las debilidades más obvias?
Tengo en mi lista hasta ahora:
- Comprobar si las entradas (puertos USB, unidades de disquete [plantas antiguas ...], etc.) están deshabilitadas
- Busque contraseñas de administrador en un post-it en la pantalla
- Verifique si los sistemas operativos utilizados aún son compatibles (espero ver algunos sistemas anteriores a Windows XP), y si están actualizados.