Un tipo de TI dijo que en su compañía, las actualizaciones de Windows (pequeñas actualizaciones de seguridad que se descargan automáticamente con la actualización automática de Windows) son revisadas por el auditor. es decir: el auditor verifica si todos los sistemas de la empresa tienen instaladas estas actualizaciones. No podía creer que los auditores realmente verifiquen estos detalles. ¿Ellos?
Definitivamente hay algunas regulaciones que requieren que esto sea verificado.
Por ejemplo, PCI-DSS requiere (se requiere que? Haya revisado v2 todavía ...) todos los parches de seguridad para que se instalen dentro de un período de tiempo determinado. Y sí, los QSA también necesitan verificar esto.
Tal como lo entiendo (no soy un abogado y no soy un oficial de cumplimiento, así que tome lo que digo con un grano de sal), hay interpretaciones del cumplimiento de SOX que requieren que una compañía tenga mecanismos establecidos para garantizar que Todas las máquinas están actualizadas con parches. Así que no me sorprendería en lo más mínimo si fueran auditados.
Desde una variedad de organizaciones que solía cuidar desde una perspectiva de auditoría de TI, el término 'auditoría' aquí usualmente significa 'verificar la lista de actualizaciones instaladas en la lista publicada' no profundizar en lo que contenía cada una . es decir, si era un "crítico" del proveedor, la auditoría se preocuparía si no se hubiera implementado de manera oportuna o, en su defecto, tuviera una buena razón de excepción.
Lea otras preguntas en las etiquetas patching audit windows compliance