Exemple de rapport d`audit de sécurité informatique

Exemple de rapport d`audit de sécurité informatique

En vous assurant des correctifs, en veillant à ce que les systèmes d`exploitation et les applications soient correctement configurés, et la surveillance de votre système de défense est déjà plus qu`un emploi à temps plein. Si vous n`avez pas d`années d`examens de sécurité internes et externes pour servir de base, envisagez d`utiliser deux vérificateurs ou plus travaillant séparément pour confirmer les résultats. Une firme d`audit doit savoir s`il s`agit d`un examen à grande échelle de toutes les politiques, procédures, systèmes, réseaux et applications internes et externes, ou d`un examen de portée limitée d`un système spécifique. Le vérificateur utilisera un scanner de vulnérabilités réputé pour vérifier le système d`exploitation et les niveaux de patch d`application par rapport à une base de données (Voir l`article de couverture, «comment vulnérable? Une autre méthode pour prouver l`exposition serait de laisser un fichier texte inoffensif dans une zone protégée du système. Assurez-vous que l`auditeur détaille ce plan à l`avant et suit ensuite. Après un test de pénétration ou une analyse d`application hybride, le rapport obtenu est centré autour des résultats. La portée d`un audit dépend des objectifs. Supposons que vous souhaitiez qu`un vérificateur examine un nouveau déploiement de pare-feu check point sur une plate-forme Red Hat Linux. Il s`agit d`un travail pour les professionnels de la sécurité informatique.

L`audit est terminé, et vous regardez le rapport. Si l`organisation interdit aux employés de communiquer des informations sensibles par le biais de courriels publics non chiffrés, les vérificateurs doivent respecter et suivre la politique. Les audits annuels établissent une ligne de base de sécurité par rapport à laquelle vous pouvez mesurer les progrès et évaluer les conseils professionnels de l`auditeur. Vous avez embauché des experts, pas des outils, pour auditer vos systèmes. Par exemple, la divulgation de nom d`utilisateur/adresse e-mail via le mot de passe oublié ou la fonction d`inscription. Découvrez ce qu`ils savent des sociétés d`audit prospectives. Cette expertise est cruciale si l`on s`attend à ce que les vérificateurs dépassent les évidences. Alors que la plupart des scanners de vulnérabilités font un travail décent, les résultats peuvent varier avec différents produits et dans différents environnements. Aussi, même si vous n`avez pas de résultats réels, vous pouvez toujours écrire un rapport complet basé sur le modèle STAR et encore livrer quelque chose qui est professionnel et cohérent.

Ne le sois pas. Si l`équipe d`audit a été sélectionnée pour l`expertise UNIX, elles peuvent ne pas être familiarisées avec les problèmes de sécurité Microsoft. Toutefois, il devrait être clair que la santé de la sécurité du système vérifié est bonne et ne dépend pas des recommandations. Ne laisse pas ça t`arriver. Les certifications ne garantissent pas la compétence technique. Méthodologie suivie au CERN, Ref: http://pwntoken. Par exemple, un auditeur pointu avec une expérience réelle sait que beaucoup de administrateurs système “temporairement” ouvrir les privilèges du système pour transférer des fichiers ou accéder à un système. Si le test réel n`est pas réalisable, l`auditeur doit pouvoir documenter toutes les étapes qu`un attaquant pourrait prendre pour exploiter la vulnérabilité. Aucun d`entre nous ne savoure un audit–des étrangers qui fouinaient pour les trous dans mon système? Audit a des pistes d`audit, une évaluation a des détails techniques détaillés.

Ils peuvent simplement glisser une brochure de vente à travers la table et dire: «notre dossier parle d`elle-même. Il ya un couple de façons que j`ai vu cela fait, chacun a ses avantages et inconvénients. Prenons un audit très limité comme un exemple de la façon dont vos objectifs devraient être détaillés. Pensez à un plancher de négociation obtenir inondé avec des scans de port pendant les heures de travail de premier. L`ÉT sera la base d`un plan de projet. Ne soyez pas influencé par une soupe d`alphabet de lettres de certification. Il y a des vulnérabilités qui affectent littérately chaque application que j`ai touchée. Bien que certains scanners de vulnérabilités commerciales disposent d`excellents mécanismes de signalement, le vérificateur doit prouver ses compétences à valeur ajoutée en interprétant les résultats en fonction de votre environnement et en révisant les politiques de votre organisation. Vous amenez les auditeurs. Le rapport d`audit lui-même contient des données exclusives et doit être géré de manière appropriée–livré et marqué par la propriété et/ou chiffré si envoyé par courrier électronique. Les vulnérabilités logicielles sont découvertes quotidiennement.

Messages d`erreur détaillés, chemins d`accès locaux, adresses IP internes.

Comments are closed.

    About

    This is the deafult sidebar, add some widgets to change it.