IT Audit Checkliste [geschlossen]

18

Ich habe vor kurzem die Position einer One-Man-Show für ein Unternehmen übernommen, das ein Audit durchführen wird. Das Netzwerk ist bei weitem nicht so gut vorbereitet, und ich habe nach einer allgemeinen Prüfliste gesucht, da diese nicht von den Prüfern bereitgestellt wurde und dort nicht viele gute Informationen gefunden hat. Hat jemand eine schöne Vorlage, die mir einen guten Ausgangspunkt gibt. Ich weiß, dass dies in hohem Maße auf das Unternehmen zugeschnitten sein wird, aber ein Ausgangspunkt wird hilfreich sein, um dem Management zu erläutern, wie viel Arbeit erforderlich ist.

security 
PHLiGHT
quelle
3
Welche Art von Audit? Es gibt eine Vielzahl von Dingen, die geprüft werden könnten.
Warner
Das würde ich auch gerne wissen, aber ich habe keine Antworten von den Wirtschaftsprüfern erhalten, um eine Vorstellung vom Umfang zu bekommen.
PHLiGHT
5
Prüfung von Finanzprüfungen, Sicherheitsprüfungen, Prozessen und Kontrollen. Einige Prüfungen fallen nicht einmal unter den durchschnittlichen IT-Bereich.
Warner
2
Wenn sie Sie nicht um Dokumentation gebeten haben, können sie Ihre Prozesse / Kontrollen nicht prüfen
Jim B
3
Ich denke, ich sollte darauf hinweisen, dass wenn Sie eine Prüfungsvorbereitung durchführen (über alles hinaus, was von den Abschlussprüfern verlangt wird), die Prüfung vollständig gefährdet ist. Es soll eine Bewertung Ihrer Umgebung in der jetzigen Form sein, keine Hund-und-Pony-Show, bei der Sie den wahren Stand der Dinge beschönigen. Sorry, nur schimpfen;)
Chris Thorpe

Antworten:

6

Ich habe nach einer allgemeinen Prüfliste gesucht, da diese nicht von den Prüfern bereitgestellt wurde

Das ist enttäuschend Ich habe dies einige Jahre lang getan, und es war für uns üblich, einen detaillierten Überblick darüber zu geben, was und warum bewertet werden sollte (Methodik). Wir haben formelle Informationsanfragen eingereicht und Tools bereitgestellt, mit denen das IT-Personal Daten ausführen und erfassen kann, einschließlich etwaiger Auswirkungen des Erfassungsprozesses (falls vorhanden). Wir mussten auch Besprechungen mit detaillierten Terminen planen, was normalerweise bedeutete, dass sie wussten, was sie zu erwarten hatten. Es hat keinen konstruktiven Zweck, jemanden in einer solchen Initiative zu versanden. In der Regel treten zahlreiche Probleme auf, und die meisten IT-Mitarbeiter sind offen für Diskussionen, wenn das Engagement ordnungsgemäß eingeleitet wird.

Das heißt, es gibt viele Checklisten da draußen, wenn Sie schauen. Das Hauptziel dieser Bemühungen sollte jedoch sein, so viele Probleme wie möglich aufzudecken, Prioritäten zu setzen und Aktionspläne für die Sanierung zu entwickeln. Ich würde mir keine Sorgen darüber machen, "vorbereitet" zu sein. Da Sie vor kurzem angefangen haben, sollten Sie sich darüber im Klaren sein, dass der Ort nicht über Nacht auseinander gefallen ist.

Wenn das Netzwerk, das Sie als verbesserungsbedürftig anerkennen, einen guten Bericht erhält, wäre dies wahrscheinlich eine Verschwendung des Geldes des Unternehmens.

Greg Askew
quelle
Einverstanden. Dies ist eine unternehmensweite Prüfung, und die übrigen Abteilungen erhalten nicht mehr Informationen als ich. Das einzige, was wir sicher zu wissen scheinen, ist, dass es 3 Wochen lang ist.
PHLiGHT
1
Das klingt nach einer Effizienzprüfung.
Warner
2
Oder jemand, der daran denkt, das Unternehmen zu kaufen.
John Gardeniers
8

Ich gehe davon aus, dass Sie sich fragen, wie Sie sich auf eine interne Sicherheitsüberprüfung mit Schwerpunkt auf Technologie vorbereiten sollen, vielleicht sogar auf einen Penetrationstest.

Wie Sie sich auf der Technologieseite auf ein Sicherheitsaudit vorbereiten, hängt vom Ziel des Audits ab. Wenn das Ziel darin besteht, die Spezifikation für die Verbesserung Ihrer Infrastruktur zu definieren, können Sie möglicherweise nichts unternehmen. Wenn Sie sicherstellen möchten, dass keine Lücken verbleiben, sollten Sie vor dem Audit eine Lückenanalyse durchführen und die festgestellten Lücken korrigieren.

Für grundlegende IT-Best Practices würde ich empfehlen, auf den PCI-DSS zu verweisen . Natürlich beinhaltet es offensichtliche Dinge, die Sie bereits tun sollten, wie das Patchen Ihrer Software auf Sicherheitslücken.

Um eine Sicherheitsüberprüfung zu replizieren, beginne ich mit der Durchdringungstestmethode, die im Open Source-Handbuch zur Sicherheitsüberprüfung beschrieben ist . (OSSTMM)

Wenn Sie nach weiteren Details suchen, empfehle ich Ihnen, Ihre Frage umzuschreiben, damit Sie weniger mehrdeutig sind.

Warner
quelle
4
+1 "Ich würde Sie ermutigen, Ihre Frage neu zu schreiben, damit Sie weniger mehrdeutig sind." - Auditoren zeigen nicht nur anspruchsvolle Dinge. Sie werden von jemandem angeheuert , um eine bestimmte Facette des Geschäfts zu testen. Beginnen Sie damit, wer sie eingestellt hat und warum. Jeder Auditor, den ich kenne, kommuniziert sehr gut, wenn Sie einfach zum Telefon greifen und ihn anrufen .
Chris S
@ Chris, Sie mussten sich offensichtlich nicht mit denselben Auditoren auseinandersetzen, denen ich begegnet bin. Wie jede andere Gruppe von Menschen unterscheiden sie sich stark in ihrer Kommunikationsfähigkeit.
John Gardeniers
5

Wenn Sie Maschinen bauen, sollten Sie sicherstellen, dass Sie so viele Punkte wie möglich im Sicherheitsleitfaden der NSA finden (einige Dinge können für Ihre Situation übertrieben sein):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

Und wenn Sie Maschinen einrichten, sollten Sie dies automatisiert tun, damit jeder ein Ausstecher für jeden anderen ist. Das Erstellen "von Hand" über Installationsmedien kann fehleranfällig sein, wenn Sie etwas vermissen.

Automatisieren! Automatisieren! Automatisieren!

Jede halbregelmäßige Prozedur sollte so oft wie möglich als Skript ausgeführt werden. Dies umfasst Systeminstallation, Patches, Schwachstellenüberprüfungen und Kennwortsicherheitstests.

Nic
quelle
1
+1 für den tollen Link.
Mittwoch,
2

Ich empfehle Ihnen, etwas Zeit mit dem Lesen von COBIT zu verbringen, also den Kontrollzielen für die IT. Tatsächlich wird es von vielen Wirtschaftsprüfungsunternehmen verwendet, um den IT-Bereich zu prüfen.

Ich empfehle Ihnen auch, Tools wie nessus (das Ihr Netzwerk / Ihre Server auf Schwachstellen überprüft) oder mbsa (Microsoft Baseline Security Analyzer) zu verwenden, aber es überprüft nur die Windows-Hardware.

Da Sie nach einem Ausgangspunkt gefragt haben, denke ich, dass dies Ihnen helfen könnte.

Bob Rivers
quelle
1

Wenn eine Prüfung ohne Spezifikationen angefordert wird, bedeutet dies nach meiner Erfahrung im Allgemeinen eine Vermögensprüfung. Dies ist die schlechteste Art, da Sie dann genau herausfinden müssen, was das Unternehmen hat und ob es legitim ist oder nicht.

Persönlich möchte ich darauf hinweisen, dass der Begriff "Audit" generisch ist und näher ausgeführt werden muss. Ich mache offiziell nichts mehr, bis ich weiter komme und eine klarere Richtung habe. Inoffiziell bin ich sehr beschäftigt und versuche sicherzustellen, dass alles, was unter meiner Kontrolle steht und geprüft werden kann, so gut ist, wie ich kann. Nur um sicherzugehen, dass mein Hintern bedeckt ist. Wenn ich dann herausfinde, wonach sie tatsächlich suchen, übergebe ich ihnen die relevantesten Audits, die ich zuvor für die ganz vorbereitet habe.

John Gardeniers
quelle
0

Es ist nicht praktisch, zu jeder Maschine zu gehen, um sicherzustellen, dass sie vollständig aktualisiert ist. Aus diesem Grund gibt es OpenVAS (OpenVAS ist die neue kostenlose Version von Nessus). Sie können OpenVAS anweisen, jeden Computer in Ihrem internen Netzwerk zu scannen, um Problembereiche zu identifizieren. Sie müssen es auch remote ausführen, um eine Vorstellung von Ihrer Remote-Angriffsfläche zu erhalten. Sie werden Probleme mit Ihren Firewall-Regelsätzen und Computern finden, die anfällig für Angriffe sind.

Turm
quelle
Ich habe Kaseya gekauft und werde es bald herausbringen, um unter anderem das Patchen von Clients zu behandeln.
PHLiGHT
@PHLiGHT Um ehrlich zu sein, macht es nicht immer besser, Geld für etwas zu bezahlen.
Rook
0

Ich würde gerne eine Erklärung darüber abgeben, wie Sie Geschäfte machen. Was ist der aktuelle Prozess (falls vorhanden) und was sollte / wird zukünftig sein. Wenn es sich um einen Penetrationstest oder eine Sicherheitsüberprüfung gehandelt hätte, hätten sie Ihnen dies mitgeteilt, und es hätte keine abteilungsübergreifenden Auswirkungen. Wahrscheinlich müssen Sie auch darauf vorbereitet sein, darüber zu sprechen, wie Sie die Einhaltung gesetzlicher Bestimmungen für andere Geschäftsbereiche unterstützen können, abhängig von den Bestimmungen, denen Ihr Unternehmen möglicherweise unterliegt.

MikeJ
quelle
0

Wenn ich es richtig verstanden habe, brauchst du eine Art Checkliste und das scheint ein guter Ausgangspunkt zu sein. Es gibt viele Vorschläge, die Sie über das Internet ausgraben können, aber ich bevorzuge diese . Neben den Prüfungsthemen finden Sie auch weitere, die rechtzeitig benötigt werden

Ivan Stankovic
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.